1. Routersoftware
Seit dem 1. August 2016 haben wir in Deutschland keinen Routerzwang mehr. Das bedeutet: Nicht mehr der Internetanbieter (ISP) kann bestimmen, welchen Router ein Kunde zur Verbindung mit dem Internet nutzen muss, sondern der Kunde kann selbst entscheiden. In der Praxis machen davon nur die wenigsten Kunden Gebrauch – vermutlich auch deshalb, weil gerade im Bereich der Kabelanschlüsse nur wenig Alternativen angeboten werden oder einfach der Aufwand gescheut wird.
In der Artikelserie OpenWrt möchte ich euch einen alternativen Weg aufzeigen – der Router bzw. das Modem von eurem ISP wird weiterhin die Verbindung ins Internet aufbauen und Funktionen wie Telefonie etc. bereitstellen. Dahinter bauen wir uns allerdings unser eigenes, privates Netzwerk auf – abgeschottet vom Netzwerk des ISPs. Eine modemlose FRITZ!Box 4040 wird mittels OpenWrt zum Kompagnon für ein DSL- oder Kabelmodem bzw. Router umfunktioniert.
- FRITZ!Box 4040 und Netzwerkaufbau – OpenWrt Teil1
- Flash OpenWrt auf FRITZ!Box 4040 – OpenWrt Teil2
- Hardening SSH- und LuCI-Webzugang – OpenWrt Teil3
- Keine Werbung und Tracker mit Adblock-Addon – OpenWrt Teil4
- Stubby: Verschlüsselte DNS-Anfragen – OpenWrt Teil5
- Firewall | Kontrolle ausgehender Datenverkehr – OpenWrt Teil6
- OpenWrt-Upgrade einspielen – OpenWrt Teil7
2. OpenWrt
OpenWrt ist eine alternative Firmware für den Betrieb eines Soft- bzw. Hardware-Routers. Die freie Linux-Distribution ersetzt die Hersteller-Firmware bei der Installation auf ein kompatibles Gerät vollständig. Über einen integrierten Paketmanager kann die Standardinstallation über Software-Pakete erweitert und der Router umfassend an die eigenen Bedürfnisse angepasst werden.
Mit den Funktionalitätserweiterungen wächst jedoch gleichzeitig auch die Komplexität stetig an. Es ist daher anzuraten, nur jene Software-Pakete zu installieren, die OpenWrt nicht unnötig komplex werden lassen – jedes zusätzliche Software-Paket erhöht letztendlich die Angriffsfläche. Es gilt das Prinzip: »Keep It Small and Simple« (KISS). Zu viel Komplexität bedeutet letztendlich ein Verlust an Übersicht und damit Kontrolle.
Du kannst den Blog aktiv unterstützen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.1 Artikelserie
In der Artikelserie werde ich auf die Basisfunktionalität oder die grundlegende Einrichtung eines OpenWrt-Routers nicht eingehen. Anlaufstelle bei Fragen rund um die Einrichtung von Interfaces, Access-Points etc. bietet die offizielle Dokumentation von OpenWrt – der Quick-Start-Guide ist hier sicherlich einen Blick wert. Tiefergehende Fragen und spezielle Problemstellungen können bei Bedarf im offiziellen OpenWrt-Forum erörtert werden.
Im Fokus der OpenWrt-Artikelserie stehen sinnvolle Erweiterungen, Modifikationen und Anleitungen, die ich kurz anreißen möchte:
- Härten des SSH- und Web-Zugangs von OpenWrt
- Paket-Filterung bzw. Kontrolle des ausgehenden (Client-)Datenverkehrs via Firewall-Regeln
- Blockieren von Werbung, Tracker und Co. auf DNS-Ebene via Adblock-Paket
- DNS-over-TLS via Stubby und DNSSEC via dnsmasq
- Demonstration des Update-Vorgangs zu einer höheren Version von OpenWrt
- VPN-Gateway mit WireGuard
- […]
2.2 Großer Nutzen mit Einschränkung
So sinnvoll ein Betrieb eines OpenWrt-Routers auch sein mag, so halte ich die Absicherung der Endgeräte nach wie vor für das A und O – gerade bei mobilen Geräten wie Notebooks oder Smartphones, die sich in unterschiedlich vertrauenswürdigen Netzen bewegen. Dennoch kann ein zentraler Router mit Gimmicks wie DNS-Adblocking oder DNS-over-TLS eine sinnvolle Ergänzung für eure Infrastruktur sein. Dennoch gilt: Die Absicherung der Endgeräte sollte Priorität haben. In diversen Artikelserien wie:
- »Take back control!«: Android ohne Google
- Android unter Kontrolle
- »Linux härten«: Ein sicheres Desktop-System
gehe ich ausführlich darauf ein. Mein Tipp: Erst wenn ihr eure Endgeräte entsprechend euren Bedürfnissen und Risikolevel angepasst habt, könnt ihr über einen OpenWrt-Router als Ergänzung für das Heimnetzwerk nachdenken.
3. Hardware
Um der Artikelserie zu folgen, ist der Kauf einer FRITZ!Box 4040 nicht zwingend erforderlich. Das OpenWrt-Wiki hält eine lange Liste mit OpenWrt-kompatibler Hardware bereit, an der ihr euch orientieren könnt. Aus folgenden Gründen habe ich mich für die FRITZ!Box 4040 entschieden:
- Das Aufspielen des OpenWrt-Images ist einfach durchführbar
- Es ist eine aktuelle OpenWrt-Version verfügbar
- Die Hardware hat mit 256 MB RAM, 32 MB Flash-Speicher und 4 CPU-Kernen genügend Reserven für einen langen Betrieb als OpenWrt-Router
- Die FRITZ!Box 4040 unterstützt sowohl 2,4 GHz (b/g/n) als auch 5 GHz (a/n/ac) WiFi-Netzwerke
- Per Netzwerkkabel lassen sich vier Geräte per Gigabit-Ethernet-Port anschließen
- Preislich ist die FRITZ!Box 4040 mit ca. 75,- € attraktiv in der Anschaffung
- Von Freifunkern wird die Hardware auch gerne als Freifunk-Knoten empfohlen
Leider gibt es auch einen Wermutstropfen: Die verbaute Hardware ist leider nicht quelloffen. Quelloffene Soft- und Hardware bietet bspw. der Turris Omnia, der einen Fork von OpenWrt nutzt. Preislich ist das Gerät allerdings bei ca. 350,- € angesiedelt und kommt daher eher für kleine Unternehmen in Frage.
Letztendlich ist es Geschmackssache bzw. eine Frage der Anforderungen, welche OpenWrt-kompatible Hardware jemand einsetzt. Nochmal: Um der Artikelserie zu folgen, ist der Kauf einer FRITZ!Box 4040 nicht zwingend erforderlich. Die FRITZ!Box 4040 halte ich allerdings für einen guten Kompromiss.
4. Netzwerkaufbau
Gerade als Kunde von einem Kabelnetzbetreiber bekommt man häufig eine FRITZ!Box gestellt. Allerdings hat man meist nur eingeschränkte Möglichkeiten, die Einstellungen zu verändern oder Zusatzoptionen wurden vom Netzbetreiber beschnitten. Grundsätzlich gilt: Das Gerät gehört dem Provider und damit auch das anliegende Netz. Ihr geht damit also eine Vertrauensbeziehung zu eurem Provider ein, der sich theoretisch jederzeit über die FRITZ!Box in euer WLAN bzw. Hausnetz einklinken könnte, ohne dass ihr es bemerkt.
Über das Webinterface der FRITZ!Box unter »Diagnose -> Sicherheit« werden »nach draußen« geöffnete Ports aufgelistet. Unter anderem wird dort der Port 8089 aufgelistet, den ihr als Kabelkunde (normalerweise) nicht schließen könnt. Der TCP-Port 8089 dient der Autokonfiguration von eurem Internetzugang und der Internettelefonie, sowie für automatische Updates der FRITZ!Box. Dieser Rückkanal bzw. Fernwartungsport TR-069 stellt allerdings auch ein Sicherheitsrisiko dar.
Gerade für Kunden von Kabelanschlüssen, die auf ein Kabelmodem bzw. eine FRITZ!Box angewiesen sind, ist es daher empfehlenswert, eine zusätzliche »Barriere« zwischen Provider und ihrem (Haus-)Netz zu integrieren. Dies lässt sich bspw. mit OpenWrt realisieren.
4.1 FRITZ!Box 4040: Kein Modem
Die verwendete FRITZ!Box 4040 hat kein Modem integriert. Das bedeutet: Die Einwahl zu eurem Internetanbieter erfolgt auch weiterhin über ein vorgeschaltetes Modem bzw. Router. Wollt ihr also eurer Netzwerk mit einem OpenWrt-Router bzw. der FRITZ!Box 4040 erweitern, spielt es keine Rolle, ob ihr ein DSL- oder Kabelmodem habt – die FRITZ!Box 4040 wird einfach dahintergeklemmt.
4.2 Anbindung des OpenWrt-Routers
Der OpenWrt-Router wird mittels Netzwerkkabel direkt mit eurem bestehenden Modem bzw. Router verbunden. Anhand einer vorgeschalteten FRITZ!Box 6490 (Kabelanschluss) möchte ich auf zwei unterschiedliche Anbindungsarten eingehen:
- Direkt erreichbar aus dem Internet: Mittels Bridge-Modus oder der Funktion Exposed Host könnt ihr den OpenWrt-Router direkt aus dem Internet erreichbar machen. Der OpenWrt-Router nutzt dabei die Internetverbindung, die die vorgeschaltete FRITZ!Box 6490 aufbaut, ist logisch betrachtet allerdings direkt mit einem Beinchen im Internet. Das bedeutet: Der komplette Netzwerk- bzw. Internetverkehr wird direkt an den OpenWrt-Router durchgereicht, als habe der OpenWrt-Router die Einwahl selbst vorgenommen.
- Hinter der FRITZ!Box 6490: Bei dieser Variante wird der OpenWrt-Router nicht als Exposed Host eingerichtet – dann wird quasi doppelt »genattet« bzw. eine Netzwerkadressübersetzung vorgenommen. Das sollte sich nicht wahrnehmbar auf die Performance auswirken, ist aber eben nicht »so schön« wie ein einfaches NATING der ersten Variante. Mit der Anlegung von Routen (auf der FRITZ!Box 6490) und einer kleinen Konfigurationsänderung auf der OpenWrt-Box lässt sich das doppelte NATING jedoch auch vermeiden.
4.3 Mein Aufbau
Mein Netzwerkaufbau entspricht meinen persönlichen Anforderungen bzw. Vorstellungen. Es ist lediglich als Beispiel für eine mögliche Konfiguration gedacht. Grundsätzlich gilt: Ihr solltet euch selbst Gedanken zum Aufbau machen und euer Netzwerk an eure Anforderungen bzw. Bedürfnisse anpassen. Der Aufbau des Heimnetzwerkes ist wie folgt:
Auf die farblichen Markierungen der unterschiedlichen Subnetze möchte ich kurz eingehen:
- Rot: Der rote Netzbereich (192.168.50.0/24) ist aus der Sicht des OpenWrt-Routers quasi das Internet. Über das Interface »WAN« wird die Verbindung zu externen Netzen aufgebaut. Gleichzeitig ist der rote Netzbereich der interne IP-Adressbereich der FRITZ!Box 6490.
- Grün: Im grünen Netzbereich (192.168.200.0/24) bzw. am Interface »LAN« sind alle Geräte mit Netzwerkkabel verbunden.
- Blau: Das Interface »WiFi« spannt ein drahtloses 5GHz-Netzwerk (192.168.150.0/24) auf, mit dem sich Geräte wie Smartphones verbinden.
- Gelb: Der gelbe Netzbereich (192.168.100.0/24) liegt außerhalb der Verantwortung des OpenWrt-Routers und wird von der FRITZ!Box 6490 verwaltet. In diesen Netzbereich dürfen sich VPN-Clients einwählen und haben anschließend Zugriff auf das rote Netzwerk – können allerdings keine intern liegenden Netzwerke wie das blaue oder grüne Netzwerk erreichen.
Der rote Netzbereich (192.168.50.0/24) übernimmt in diesem Netzwerkaufbau damit zwei Aufgaben:
- Er ist sozusagen eine vorgelagerte DMZ, in der Geräte stehen, die via VPN von außen erreichbar sein sollen. Die Einwahl übernimmt dabei die FRITZ!Box 6490.
- Gleichzeitig ist der rote Netzbereich auch das nicht vertrauenswürdige rote Netz bzw. WAN-Anschluss des OpenWrt-Routers.
Ein paar Anmerkungen zu meinem Setup:
- Die FRITZ!Box 6490 ist noch immer die »erste« Barriere bzw. der Perimeter zwischen öffentlichem Netz und dem privaten Netz und übernimmt folgende Aufgaben:
- VoIP bzw. Telefonie
- DynDNS
- WLAN-Netz für Gäste
- VPN-Gateway
- Die FRITZ!Box 4040 (OpenWrt) hat ein Füßchen (rotes Netz) im internen Netzbereich der FRITZ!Box 6490 und übernimmt unter anderem die folgenden Aufgaben:
- Paket-Filterung bzw. Kontrolle des ausgehenden (Client-)Datenverkehrs via Firewall-Regeln
- Blockieren von Werbung, Trackern und Co. auf DNS-Ebene via Adblock-Paket
- Blockieren der IP-Adressen von Datensammlern wie Google, Facebook und Co. auf Basis von ASN-Informationen
- Trennung zwischen Wireless- und physisch angeschlossenen Geräten
- »Bändigen« meiner Windows-7-VirtualBox-Maschine (notwendig für Steuer- und Buchhaltungssoftware)
- DNS-over-TLS via Stubby und DNSSEC via dnsmasq
5. Fazit
Die OpenWrt-Linux-Distribution bringt bereits nach der Installation alle elementaren Funktionen mit, die zum Betrieb eines Netzwerks notwendig sind: Netzwerkunterstützung, WLAN-Access-Point, DNS- bzw. DHCP-Server via dnsmasq und rudimentäre Firewalleinstellungen. Doch damit nicht genug: Durch die mitgelieferte Paketverwaltung lassen sich sehr einfach Funktionen wie DNS-over-TLS (Stubby) oder WireGuard nachrüsten. Insgesamt könnte man OpenWrt als Rundum-sorglos-Paket für den interessierten bzw. ambitionierten Heimanwender beschreiben – selbst ein Pi-Hole wird dann überflüssig.
Im nachfolgenden Teil der OpenWrt-Artikelserie werde ich den Flash-Vorgang beschreiben, mit dem sich OpenWrt auf die FRITZ!Box 4040 installieren lässt. Außerdem werden wir den Zugang zur Box absichern, bevor eine weitere Konfiguration erfolgt.
Bildquellen:
Router: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Flash OpenWrt auf FRITZ!Box 4040 – OpenWrt Teil2
OpenWrt-Upgrade einspielen – OpenWrt Teil7
Pi-hole: Einrichtung und Konfiguration mit Fritz!Box – AdBlocker Teil1
Stubby: Verschlüsselte DNS-Anfragen – OpenWrt Teil5
Keine Werbung und Tracker mit Adblock-Addon – OpenWrt Teil4
54 Ergänzungen zu “FRITZ!Box 4040 und Netzwerkaufbau – OpenWrt Teil1”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Hallo Mike,
könntest Du mal schauen ob die FRITZ!Box 4040 mit OpenWRT MultiSSID / VLANs beherrscht? Dann wäre sie auch als Access Point interessant.
Vielen Dank,
Martin
Also über das Interface -> Network -> Switch lässt sich bei »Enable VLAN functionality« ein Häkchen setzen. VLANs sollten also möglich sein.
So eine Lösung mit VLANs und einer 4040 hinter der normalen Fritzbox (und doppelter NAT) würde mich auch sehr interessieren.
Ich wäre wirklich sehr dankbar für ein ausführlicheres Kapitel über VLANs… vor allem wie man sowas mit einfachen und nicht ganz so teuren (Fritz-)Geräten (Access Points usw.) aufbauen kann.
Inzwischen gibt es im Heimnetz doch einige Geräte, die ich gerne in eigene Unternetze packen würde. Dafür ist die Unterteilung der Fritzbox in Gast- und Heimnetz viel zu grob.
Es wird kein Kapitel über VLANs geben. Da müsst ihr einen Blick in die OpenWrt-Doku werfen.
Hallo Martin,
Vielleicht hilft Dir dieser Link bei der Anlage von VLANs auf OpenWrt.
https://blog.doenselmann.com/dmz-fuer-cloudserver-mit-openwrt/
Beste Grüße
Martin
Hallo und schon mal vielen Dank für die neue Serie. Ich hätte zu dem geplanten Setup eine Frage. Mit der VPN Verbindung kann ich dann bspw. nicht von Unterwegs auf mein NAS zugreifen, richtig? Evtl. könnte man darauf optional auch noch eingehen.
Freue mich auf jeden Fall auf die restlichen Teile der Serie.
Chris
Das kommt auf deinen Netzwerkaufbau an – das kann ich dir nicht sagen. Grundsätzlich ist die Einwahl in OpenWrt via OpenVPN oder auch WireGuard möglich. Wenn du dein NAS ist einen vom OpenWrt-Router verwaltetes Netz hängst und entsprechende Zugriffsregeln definierst, kannst du auch von unterwegs via VPN auf dein NAS zugreifen.
Aktuell hab ich ne 7390 als Modem & Router, dahinter kommt direkt das Heimnetz.
Hätte vielleicht aber im ersten Beitrag erwähnen sollen, dass der Aufbau in absehbarer Zeit optimiert werden soll und da kommt dein Beitrag gerade rechtzeitig. Bis auf den VPN Teil passt das auch ziemlich gut. In meinem Fall würde ich dann nur VPN ändern, direkt an der 4040 mit OpenWRT mit OpenVPN/WireGuard und Zugriff auf das Heimnetz, richtig?
Kannst du so machen, ja.
Vielleicht als Ergänzung für den „ambitionierten Heimanwender“: Gastzugang lässt sich wunderbar über einen Freifunk Knoten realisieren. Ist nicht nur für die Gäste toll, hilft auch der Community und entbindet von der Verantwortung, die Gäste und ihre mitunter verseuchten Geräte mitbringen mögen. In deinem Szenario müsste der richtige Ort ebenfalls die rote Zone sein, oder?
Freifunk-Router – die i.d.R. eine seperate VPN zu einem Freifunk-Server aufbaut – sollten m.M.n nicht im LAN-Bereich hinter dem Modem (FB6490 an Lan1-Lan3 im obrigen Bsp: rote Netzbereich (192.168.50.0/24) ) sondern besser in einem softwaremäßig separierten Bereich an einem in der FB eigens zu aktivierenden „Gastzugang für LAN 4“ angeschlossen werden, dort wir ein eigener Gast-IP-Adresse – wie beim Gast-Funknetz – von der FB6490 zur Verfügung gestellt, deren IPv4 endet oftmals auf 192.168.179.1 und würde in der obrigen Skizze von Mike eine zusätzlich anderen Farbe bekommen, vielleicht mangenta :)
Also der heimische Freifunk-Knoten kommt an den spezielle als Gastzugang deklaierten LAN 4 :
netzwerkaufbau.6490Modem: rot 168-50-0–24
_OpenWRT-FB4040_green: Lan200-0_blau: WLan150-0
wird ergänzt zu
netzwerkaufbau.6490Modem: rot 168-50-0–24 + violett:168-50-179.1
_OpenWRT-FB4040_green: Lan200-0_blau: WLan150-0
@Mike, liege ich mit meiner Empfehlung richtig? Denn ich traue mich nicht an unserem 1&1-Kabelmodem, die Fritzbox 412 mit nur einem LAN-Port :( den Freifunk-Router TP-Link 841 und andere LAN-Geräte über einen einfachen 8-por-Switch anzuschliessen. Auf dem LAN-Port des FreiFunk-Routers ist ganz schön viel Traffic erkennbar !
Wie werden denn die Netze Gelb und Rot auf der FB angelegt?
Ich hatte bisher immer nur ein einziges Netz auf der FB…
Diese Bezeichnungen habe ich gewählt.
Gelb: Das ist einfach das VPN-Netz, das »virtuell« auf der Fritz!Box erstellt wird, sobald eine VPN-Einwahl erfolgt bzw. eine VPN-Konfiguration erfolgt ist.
Rot: Das ist das interne Netz der Fritz!Box im Auslieferungszustand. Bei mir wird es eben »rotes« Netz genannt, da es für mich eine Art DMZ bzw. Netz vor dem OpenWrt-Router darstellt.
Verstanden – „Gelb“ entspricht dem nicht konfigurierbaren, FB-internen „VLAN“ für das IPSec VPN. Danke für die Erläuterung.
Hallo Mike,
das hört sich alles nachbauenswert an. Ich habe derzeit eine 7590 mit starkem WLAN und Mesh (was ich leider hier im Haus benötige) als Modem+Router. Wenn man VLANs mit der OpenWRT-Lösung aufbauen kann mit der 4040, könnte ich dann z.B. die 4040 dennoch für die sensiblen Geräte (z.B. NAS, Desktoprechner, etc) benutzen und die unwichtigen (Handys, Tablets) über 7590Mesh?
Wo käme denn bei Deinem SetUp der PiHole hin? In die DMZ, damit auch Gäste oder Du unterwegs via VPN etwas von ihm hast oder in das interne 200er Netz?
Er könnte im roten Netz stehen, falls du ihn auch von außen benötigst. Mit OpenWrt + Adblock wird der Pi-hole allerdings überflüssig.
Hi Mike,
gab es für dich einen bestimmten Grund für den Umstieg von IPfire auf OpenWRT oder ist der Umstieg nur temporär für die Artikelserie?
Die Entwicklung der IPFire ist mir zu träge. Funktionen die ich mir wünsche, sind in OpenWrt längst implementiert bzw. lassen sich einfach nachrüsten.
Beispiele: Adblocker (+GUI), DNS-over-TLS
Hallo,
angenommen ich nehme ein APU3/APU4 mit WLAN-Karte und LTE-Modem-Karte
und richte mir ein IPFire darauf ein, dann könnte ich mir doch
– den proprietären WLAN – Router des Mobilfunk-Anbieters in Bridge-Mode
– sowie den Openwrt-Router dahinter
ersparen, oder fehlen mir dann grundlegende Funktionen welche nur Openwrt bietet ?
Hallo.
Ich verstehe nicht warum du ein Tutorial machst für eine Anwendung, die proprietäre Bestandteile enthält.
Weshalb denn keine Anleitung für LibreCMC, das basiert auf OpenWRT aber OHNE die proprietären Bestandteile!
https://de.wikipedia.org/wiki/LibreCMC
Dasselbe habe ich mich gefragt bezüglich LineageOS:
Warum nicht Replicant, das basiert auf LineageOS aber OHNE die proprietären Bestandteile!
https://de.wikipedia.org/wiki/Replicant_(Betriebssystem)
Bis auf Bluetooth, integriertes WLAN und die Videofunktion klappt alles super.
Und WLAN kann man via freiem WLAN-Dongle nachrüsten:
https://redmine.replicant.us/projects/replicant/wiki/WifiAdapter
Zu LineageOS: Ich vermute das er sich für LineageOS entscheiden hat, da LineageOS eine viel breitere Auswahl an Geräten unterstützt.
Du gibst dir die Antwort doch schon fast selbst. Der Kuketz-Blog richtet sich in erster Linie nicht an Profis, die die von dir vorgeschlagenen Dinge alleine können und bereit sind solche ^ Einschränkungen hinzunehmen. Es soll hier einer möglichst großen Masse ein Weg gezeigt werden aus den goldenen Käfigen der Hersteller auszubrechen. Wer sich darüber hinaus tiefer mit der Materie beschäftigen will findet an geeigneteren Stellen Infos. Gemäß deiner Logik müsste man konsequenterweise fragen, ob denn Baseband und co bei deinem Mobilgerät frei sind (sind sie nicht). Und wer da möglichst nahe hinkommen möchte müsste zukünftig auf Lösungen wie das Librem setzen, das neben großer Freiheit für 600 € Hardware liefert, die man aktuell bei 150 € Geräten findet. Solch einen Umstieg werden wenige machen. Von daher finde ich sowohl OpenWRT als auch LineageOS für die Zielgruppe einen guten Kompromiss.
Hi Mike!
In deinem Aufbau fehlt die ipfire firewall. Warum Hast du die ausrangiert?
In den Beiträgen zu pihole verwendet ihr unbound als DNS-lösung. In den Kommentaren habt ihr stubby und DNS-over-tls als nicht sinnvoll und unbound unterlegen dargestellt. Warum nun doch einen Beitrag darüber?
Danke!
OpenWrt kann alles was ich mir wünsche, daher wird die IPFire nicht mehr benötigt.
Auf OpenWrt kommt Stubby zum Einsatz. Wenn du die andere Lösung favorisierst kannst du diese gerne nachstellen. Die Qual der Wahl. ;-)
Ich bin nur neugierig. Der Unbound-Artikel suggeriert, dass eine TLS-Verschlüsselung wenig Effekt hat…
„Selbst wenn dies TLS-verschlüsselt ist, steht die Ziel-IP-Adresse im Klartext in den Kopf-Daten der Pakete. Da können wir DNS-Anfragen verschlüsseln wie wir wollen, wir Posaunen unser Ziel anschließend sowieso raus. Hier ist also kein Blumentopf zu gewinnen. “
https://www.kuketz-blog.de/pi-hole-unbound-hyperlocal-keine-werbung-groesstmoegliche-unabhaengigkeit/
Teilst du die Einschätzung nicht? Was man so liest, geht Stubby mit einem geringen Geschwindigsverlust einher, sodass ich darauf verzichten würde, wenn die Maßnahme zweifelhaft ist.
Wenn du Lust und Zeit hast, äußer gerne deine Gedanken zum Thema Unbound vs Stubby ;)
Die Artikelserie bezieht sich auf den „Router AVM FRITZ!Box 4040“, da ich aber noch ein analoges Telefon an meinem Speedport habe, sollte ich also eher ein „Router AVM FRITZ!Box 7490“ (2x Telefon analog) wählen.
Kann der „Router AVM FRITZ!Box 7490“ auch für das OpenWrt Betriebssystem umgestellt werden? Der „Router AVM FRITZ!Box 7490“ findet sich derzeit nicht unter den unterstützten Geräten OpenWrt Devices
Tipps?
Wenn er dort nicht gelistet ist, dann wohl offensichtlich nicht.
Laut ct gibt es keine stabile OpenWrt-Version für die Fritzbox 7490 (Stand Juli 2019). Die Chancen sollen auch schlecht stehen, dass eine erscheinen wird. ct-Tipp: 7490 bei ebay verkaufen und für das Geld eine 4040 kaufen.
Hallo ich würde gerne ein ähnliches Setup einer DMZ hinter einer Fritzbox 7490 und einem zweiten separaten Netzbereich hinter einer Fritzbox 4040 aufbauen.
• Ist das auch mit der originalen Firmware der Fritzbox 4040 zu realisieren oder benötige ich dafür OpenWrt ?
• Sind die 2 Netze in jedem Fall voneinander getrennt wenn ich die Fritzbox 4040 als Exposed Host oder nicht als Exposed Host in der Fritzbox 7490 eintrage ? (Die Fritzbox 4040 soll immer neue IP Adressen vergeben.)
Die Artikelserie dreht sich um OpenWrt. Die geplanten Inhalte kannst du nur mit OpenWrt realisieren.
Die Netze sind getrennt, ja. Du kannst sie natürlich auch mittels Route und Anpassung der Firewall-Regeln verbinden.
Obwohl ich schon länger einen Router mit Openwrt+Adblock als exposed Host hinter der Provider-Fritzbox betreibe, freue ich mich sehr auf die kommenden Artikel. In Sachen DNS und Firewall kann ich bestimmt noch einiges dazulernen.
Das Thema IPv6 und Dual-Stack fände ich in diesem Zusammenhang auch interessant, da ich dazu noch keine guten Anleitungen gefunden habe. Gibt es bezüglich Sicherheit und Privatsphäre bei IPv6 Signifikante Nachteile gegenüber IPv4 oder würde es die Artikelserie unnötig aufblähen, wenn man beide Protokolle berücksichtigen würde?
Hallo
Wie stellst du sicher, dass in der FritzBlackbox nicht irgendein proprietärer Kram läuft, der die Sicherheit vom Netzwerk komplett unterwandert? Ich meine der Router ist eine Kernkomponente im Netzwerk. Der gesamte Traffic geht drüber. Warum nimmst du da nichts offenes?
Es ist im Artikel begründet. Du kannst natürlich auch eine komplett offene zu OpenWrt-kompatilbe Hardware wählen und der Artikelserie damit folgen.
Hallo,
wäre es evt. besser, statt 2 Geräte vom gleichen Hersteller, lieber 2 von unterschiedlichen einzusetzen? Ich mein ja nur, wegen der proprietären Ausgangslage.
Ist mir jetzt gerade auf der Toilette eingefallen **Glühbirnensmiley**
Zur Fritzbox 4040: macht es eigentlich einen Unterschied, ob man die „normale“ oder die internationale Version verwendet? Ich habe nur etwas über schnellere Firmwareupdates bei der Normalen gelesen und kann sonst keine Abweichungen ausmachen. Beim Flashen mit openwrt macht das dann ja wohl keinen Unterschied mehr, oder?
Laut der offiziellen Seite wird die APU3 unterstützt, siehe: https://openwrt.org/toh/pcengines/apu3
Wie groß sind denn die Chancen, dass das auf einer APU4 läuft?
Habt ihr da Erfahrungen?
Moin moin allerseits!
Schöner Artikel Mike, spricht mir aus der Seele.
Seit über 2 Jahren läuft so ein Netzkonstrukt bei mir, da der Tel.-/Internetprovider nicht die Spur eines Softwareupdates in Aussicht stellt.
Aufbau : Providerrouter als Modem/Tel., danach einen alten Wrap (SC1100 CPU, 266 MHz 5×86 CPU, 128MB RAM) von PC-Engines (BJ 2007), 3xEthernet + WLAN-Karte sowie OpenWRT auf CF 32MB.
Somit ist es auch möglich alte Hartware mit neuer Software noch sinvoll zu nutzen und am Leben zu halten.
Dahinter liegt das ganze Hausnetz. Darin auch eine Fredombox auf RPi3B+ als Jabber Server.
WLAN Subnetz mit ESP8266 als Router für WLAN-Spielereien mit IOT und gelegentlich als Reichweitenverlängerung für mein Tablett. Streamen von MP4-Videos im Hausnetz sind für dieses kleine Kerlchen in Briefmarkengröße kein Problem.
Einen Gastzugang für Besucher gibt es nicht. Wir unterhalten uns mit den vorhandenen biologischen Kommunikationswerkzeugen. ;-)
Da das Problem mit nicht vorhandenen Softwareupdates für Providerrouter wohl bei vielen vorliegt, kann ich somit nur empfehlen diesen Weg des nachgeschalteten Routers mit OpenWRT zu gehen. Gibt einem ein wenig Sicherheit zurück.
Hallo Mike,
dass ist ein tolles Projekt, ich freue mich darauf es mit meiner FB4040 umzusetzen.
Kannst du – oder ein Mitlesen sagen – ob es möglich sein wird, einzelne Geräte in VLAN zu tun, um beispielsweise das ADblocking zu umgehen? (Meine Frau beklagt sich ständig über PiHole).
Ich wollte erst den 4040 kaufen, aber ich habe gelesen das der nicht offene Komponenten hat. Oben lese ich das auch OpenWRT nicht offene Bestandteile hat. Muss ich mir da sorgen machen? Gehst du auch noch auf offene und freie Alternativen ein? Ich will eigentlich keine Closed Source Dinge im Netzwerk….
Das sind in der Regel Treiber, für Kompontenten wie Modem etc. Wenn die Hardware nicht quelloffen ist, ist es wahrscheinlich, dass OpenWrt proprietäre Treiber nachladen muss.
Nein.
Hallo Mike,
danke für den tollen Artikel. Ich bin schon gespannt wie es weitergeht.
Hast du schon Erfahrungen mit Updates gemacht? Bei meiner OpenWRT Installation, sind nach einem Update immer die nachträglich installierten Pakete weg. Die Konfiguration bleibt erhalten.
Ich pflege mittlerweile eine Liste, mit allen von mir installierten Paketen. Dann kann ich die nach jedem Update schnell nachinstallieren.
> DNS-over-TLS via Stubby und DNSSEC via dnsmasq
Eine Lösung mit Hyperlocal ist nicht möglich oder von dir nicht vorgesehen? Die Gründe im Gastartikel zu Pihole und Hyperlocal erschienen mir sehr plausibel zu erklären, warum es sinnvoller ist auf eine lokale root zone zu setzen, statt auf DoT/DoH/etc.
Eine Lösung via Hyperlocal ist aktuell nicht vorgesehen. Das ist in Kombination mit OpenWrt noch zu viel Gefrickel. Sobald es eine Lösung gibt, die eine unkomplizierte Anbindung von Hyperlocal ermöglicht, könnte ich das ergänzen.
Wer eine OpenWRT-taugliche Alternative zur FB 4040 sucht:
In der OpenWRT Community wird gerne der TP-Link Archer C7 empfohlen, mit dem ich ebenfalls gute Erfahrungen gemacht habe und der sich im gleichen Preissegment befindet.
@Mike:
Magst Du vielleicht noch diesen Tipp aus einem älteren Nutzerkommentar ergänzen?
Damit könnte beim Szenario „OpenWRT-Box hinter FB“ die doppelte Netzwerkaddressumsetzung vermieden werden, in dem in der FB statische Routen konfiguriert werden.
Kann man auch so machen – dann wäre der OpenWrt-Router noch immer hinter der Fritz!Box 6490 »geschützt«, allerdings entfiele damit das doppelte NATING.
Mike, vielen Dank für diese Artikelserie! Allerdings bin ich mir noch etwas unsicher, was die updates von OpenWrt angeht.
Damit meine ich nicht ein update von einer Hauptversion von OpenWrt selbst auf die nächste Version, sondern (Sicherheits-)updates der einzelnen Softwarepakete. Bisher ging ich davon aus, dass es solche updates bei OpenWrt nicht geben würde. Das würde aber bedeuten, dass man auf die nächste Hauptversion warten müssten, wenn in einem der installierten Programme eine Sicherheitslücke gefunden werden sollte.
Ist das so? Oder gibt es bei OpenWrt auch so etwas wie apt-get update && apt-get upgrade bei debian?
Paket-Updates sollten über das Terminal erfolgen:
Ich werde das noch aufgreifen.
Danke, Mike, für die kurze Erläuterung hier und insbesondere den gerade veröffentlichten Artikel unter https://www.kuketz-blog.de/openwrt-update-benachrichtigung-fuer-packages/ .
Das löst die update-Problematik!
Hallo Mike,
1. ich habe eine Frage zum Aufbau des Netzwerk mit OpenWRT. Ich habe eine Fritzbox 6430 mit der ich das Internetz beziehe. Da dran habe ich eine Fritzbox 4040 mit der ich OpenWRT betreibe um ein FreiFunk Accespoint zu betreiben.
Wo sollte ich zweckmäßigerweise mein eigenes LAN anschließen? An der ersten (Fritzbox 6430) oder der zweiten (Fritzbox 4040)?
Falls dies von Fall zu Fall zu enscheiden ist: Was ist zu bedenken?
2. und eine weitere Frage: Ist mein Aufbau auch dazu geeignet mich, wie im Artikel erwähnt, von Werbung und Trackern frei zu machen und trotz allem das FreiFunk zu betreieben?
Danke für die Antwort
Hey ho, ich verfolge deinen Blog schon verdammt lange und deine jetzige Artikelreihe kommt mir wie gerufen. Ich hätte ein paar Fragen, ich bekommen aktuell auf der Fritzbox 4040 mit openwrt kein Internet, was mache ich falsch? Muss ich bei den einzelnen Interface noch das ip4 Gateway von WAN eintragen? Ich bin leider noch kompletter Neuling im Bereich Netzwerkverwaltung.
Des Weiteren habe ich eine eigene Cloud, welche bis jetzt direkt an meinem Router (Asus) angeschlossen war und aus dem Internet erreichbar war. Sollte diese weiterhin im „Roten Bereich“ bleiben oder in den „Gelben Bereich“ wandern?
Danke für deine / eure Hilfe im voraus!
Bitte beachte aus Teil 1:
Individuelle Hilfestellung kann ich leider nicht geben.
Was ist denn der Unterschied zwischen der „normalen“ 4040 und der „international“ bzw. welche ist für außerhalb von DE zu empfehlen?