Accentsconagua

Installieren von OpenWRT auf einem Raspberry Pi als neue Firewall für zu Hause

Computerfähigkeiten
Share

OpenWRT ist ein aktives und dynamisches Home-Firewall-Projekt, das aus der Linksys WRT54G-Familie von Home-Routern stammt. Es ist gewachsen und erweitert worden, um eine erstaunliche Reihe alter und neuer Hardware zu unterstützen. Die Liste der kompatiblen Hardware ist groß genug, um einen eigenen Index zu benötigen.

Mit dem jüngsten Interesse am Raspberry Pi gibt es natürlich auch einen OpenWRT-Build dafür. In diesem Tutorial zeige ich Ihnen, wie Sie OpenWRT auf einem Raspberry Pi installieren, eine zweite Netzwerkschnittstelle hinzufügen und Ihre Heim-Firewall durch Ihre neue OpenWRT-Firewall ersetzen.

OpenWRT

Natürlich kann ein Raspberry Pi als Firewall mit der Standard-Raspbian-Distribution mit der richtigen Konfiguration, den richtigen Paketen und den richtigen Anpassungen verwendet werden. Der entscheidende Wert von OpenWRT ist jedoch, dass es eine einfach zu bedienende und zu verwaltende Firewall-Lösung für Benutzer bietet, die keine Linux-Nutzer sind. Die meisten Operationen können über die benutzerfreundliche Weboberfläche ausgeführt werden.

Bitte beachten Sie, dass das OpenWRT-Image für den Raspberry Pi sehr neu ist und sich noch in der Entwicklung befindet. In diesem Lernprogramm wird eine modifizierte Version des Standardabbilds verwendet, um Startprobleme und die Stabilität der SD-Karte zu beheben. Eine ausführliche Erklärung finden Sie in diesem Artikel zu den Änderungen. Ich verwende das vorgefertigte, modifizierte Bild, sodass kein benutzerdefiniertes Kompilieren oder erweiterte Kenntnisse erforderlich sind.

Sammeln Sie die Komponenten

  • Himbeer-Pi-Modell B. Weitere Informationen zu den Kaufoptionen finden Sie im Kaufleitfaden für Himbeer-Pi
  • Netzteil
  • SD-Karte
  • PI-Fall
  • INTELLINET Hi-Speed ​​USB 2.0
  • Ethernet-Kabel an Heimnetzwerk angeschlossen
  • Ethernet-Kabel zum Anschluss an die Internetschnittstelle (Kabelmodem / DSL-Modem usw.)
  • HDMI-Monitor - nur Setup
  • USB-Tastatur - nur Setup
  • Computer zur Erstellung und Konfiguration von SD-Karten-Images - nur Setup

Spitze: Beim Kauf von Komponenten zur Verwendung mit Ihrem RasPi verfügt elinux.org über eine Liste der überprüften Peripheriegeräte.

Die folgenden Anweisungen setzen voraus, dass Sie Zugriff auf ein vorhandenes privates Netzwerk haben, um die Firewall herunterzuladen und einzurichten. In meinem Fall habe ich meine OpenWRT-RasPi-Firewall hinter meiner alten Firewall gebaut, bevor sie ersetzt wurde. Ich werde meinen Prozess als Modell für dieses Tutorial verwenden. Darüber hinaus setzt dieses Lernprogramm voraus, dass Sie über einen separaten Switch für Ihr Netzwerk verfügen, der nicht in Ihren Heimrouter integriert ist.

Dieses Diagramm zeigt, wie das Netzwerk im fertigen Produkt konfiguriert wird. Das OpenWRT ersetzt eine standardmäßige Firewall mit zwei Schnittstellen. Dieses Tutorial behandelt nicht das Hinzufügen von WAP-Funktionen zur Firewall, auch wenn dies ein zukünftiges Thema sein kann.


Netzwerkdiagramm

Informationen sammeln

Sie benötigen einige grundlegende Informationen zu Ihrem Netzwerk. Notieren Sie sich Ihre internen IP-Adressrauminformationen zur späteren Verwendung. In diesem Beispiel werde ich das Netzwerk 192.168.1.0, die Netzmaske 255.255.255.0 und den Broadcast 192.168.1.255 verwenden, da dies eine sehr häufige Einrichtung von zu Hause ist.

Notieren Sie sich die IP-Adresse Ihrer aktuellen Firewall. In diesem Beispiel ist es 192.168.1.1. Finden Sie schließlich eine nicht verwendete IP-Adresse, die Sie für diesen Vorgang vorübergehend verwenden möchten. In meinem Beispiel verwende ich 192.168.1.2.

Die meisten dieser Informationen können durch Abfragen Ihrer vorhandenen Firewall ermittelt werden.

Montieren Sie den Himbeer-Pi

  • Setzen Sie das RasPi in seinen Fall
  • Befestigen Sie den Monitor und die USB-Tastatur
  • Stecken Sie die USB-Netzwerkkarte ein - schließen Sie kein Kabel an
  • Schließen Sie ein Netzwerkkabel von Ihrem Heimnetzwerk an die integrierte Netzwerkschnittstelle des RasPi an
  • Stellen Sie die Stromversorgung zum Anschließen bereit, schließen Sie sie jedoch noch nicht an

Boot-SD-Karte erstellen

  • Laden Sie das modifizierte OpenWRT-Image herunter
  • Dekomprimieren Sie das bz2-Image (verwenden Sie bunzip2 für Linux oder OSX und 7zip für Windows).
  • Schreiben Sie das extrahierte Bild auf die SD-Karte. Verwenden Sie dazu die im Tutorial Flash-SD-Karte für Raspberry Pi beschriebenen Methoden
  • Legen Sie die SD-Karte in Ihren RasPi ein
  • Schließen Sie die Stromversorgung an

An diesem Punkt sollten typische Boot-Meldungen auf Ihrem Monitor angezeigt werden.

Booten Sie das Pi und ändern Sie das Standardkennwort

Drücken Sie die Eingabetaste, wenn die Konsole keine Nachrichten mehr enthält, um die Befehlszeilenaufforderung zu öffnen. Sie werden so etwas sehen:


OpenWRT-Problem

Machen die Einstellung der Einstellung trinken ist optional und für dieses Tutorial nicht erforderlich. Es kann jedoch Spaß machen, wenn Sie die Zutaten zur Hand haben. Wenn Sie sich dazu entschließen, den Anweisungen zu folgen, stellen Sie sicher, dass Sie sie hier wieder abholen.

  • Geben Sie den Befehl ein ifconfig eth0 und du solltest so etwas sehen:
eth0 Link encap: Ethernet HWaddr B8: 27: EB: 5C: B3: 3F-Inet-Adresse: 192.168.1.126 Bcast: 192.168.1.255 Maske: 255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX-Pakete: 67533 Fehler: 0 Drop: 0 Overruns: 0 Frame: 0 TX-Pakete: 71487 Fehler: 0 Drop: 0 Overruns: 0 Träger: 0 Kollisionen: 0 Txqueuelen: 1000 RX-Bytes: 24032301 (22,9 MiB) TX-Bytes: 12706941 (12,1 MiB)

Achten Sie auf die Inet Adr Zeile oben. Dies ist die aktuelle IP-Adresse, die das System per DHCP erhalten hat. Sie benötigen diese Adresse, um sich anzumelden und das Gerät zu verwalten. In diesem Beispiel ist die IP 192.168.1.126.

  • Öffnen Sie einen Webbrowser mit der oben angegebenen IP-Adresse. Es wird eine Warnung angezeigt, dass das Kennwort nicht festgelegt wurde. Klicken Sie auf den Link, um ihn festzulegen.
  • Eingeben Wurzel als Benutzername und klicken Sie auf die Anmeldung Taste, um sich zuerst ohne Passwort anzumelden
  • Geben Sie ein Passwort in die ein Passwort und Bestätigung Felder
  • Klicken Speichern und anwenden

Ändere das Passwort

Installieren Sie die Treiber für den USB-Ethernet-Adapter

Im nächsten Schritt müssen Sie die Kernel-Treiber für den USB-Ethernet-Adapter herunterladen und installieren. OpenWRT hat einen schönen webbasierten Paketmanager, mit dem Sie nach einem geeigneten Paket filtern und es nach Bedarf installieren oder entfernen können.

  • Klicke auf das System> Software Tab
  • Klicken Sie auf die Schaltfläche Listen aktualisieren, um die Liste der verfügbaren Pakete zu aktualisieren
  • Art mcs7830 in dem Paket finden Feld
  • Klicken Paket finden
  • Klicken Sie unter dem Filterfeld auf die Registerkarte Available Packages
  • Klicken Installieren neben dem kmod-usb-net-mcs7830 Paket

Installieren Sie das Kernel-Modul

Erstellen Sie die WAN-Schnittstelle

Die neue USB-Netzwerkschnittstelle eth1 ist die externe oder WAN-Schnittstelle für den Router. Ich empfehle diesen Adapter, da er ein echtes USB 2.0-Gerät ist und nicht auf die niedrigeren Geschwindigkeiten eines 1.0- oder 1.1-USB-Geräts beschränkt ist. In diesem nächsten Schritt wird das eth1-Gerät als WAN-Schnittstelle definiert, die von OpenWRT verstanden wird, und es wird automatisch die richtige Firewall-Richtlinie angewendet.

  • Klicke auf das Netzwerk> Schnittstelles tab
  • Klicken Neue Schnittstelle hinzufügen
  • Eingeben WAN als Schnittstellenname
  • Wählen eth1 aus der Liste der verfügbaren physikalischen Schnittstellen
  • Wählen DHCP für das Protokoll
  • Drücke den Firewall-Einstellungen Tab und wählen Sie Wan für die Firewall-Zone
  • Klicken Speichern und anwenden

OpenWRT-Schnittstellen

Bereiten Sie sich auf das Pi vor

Konfigurieren Sie anschließend die interne Schnittstelle als statisch und aktivieren Sie die DNS / DHCP-Dienste im internen Netzwerk, um interne dynamische IP-Adressierungs- und Namensdienste zuzulassen. Die temporäre IP-Adresse wird in diesen Schritten verwendet, um das Protokoll in statisch zu ändern, die DHCP-Dienste zu aktivieren und die Verbindung mit der OpenWRT-Firewall später erneut herzustellen, ohne zu viele Blöcke zu überspringen oder Ihrem Computer später eine IP-Adresse statisch zuweisen zu müssen verarbeiten.

  • Klicke auf das Netzwerk> Schnittstellen Tab
  • Klicken Bearbeiten neben der eth0 LAN-Schnittstelle
  • Ändern Sie das Protokoll in Statische Adresse
  • Bestätigen Sie, dass Sie das Protokoll ändern möchten
  • Geben Sie die zuvor nicht verwendete Adresse in das Feld IPv4-Adresse ein. In diesem Beispiel: 192.168.1.2
  • Geben Sie höchstwahrscheinlich Ihre Subnetzmaske ein 255.255.255.0 im Feld IPv4-Netzmaske.
  • Geben Sie die zuvor erfasste Broadcast-Adresse in das Feld IPv4-Broadcast ein. Zum Beispiel 192.168.1.255
  • Klicken Speichern und anwenden - Die Ergebnisse werden nicht an Ihren Browser zurückgegeben, da Sie das Pi gerade an eine andere Adresse verschoben haben.
  • Geben Sie dem Pi einige Minuten, um die Änderungen zu übernehmen.
  • Tragen Sie die neue IP-Adresse in Ihren Browser ein und stellen Sie erneut eine Verbindung zum Pi her.
  • Klicke auf das System> Neustart Tab
  • Klicke auf das Führen Sie einen Neustart durch verlinken und bestätigen
  • Melden Sie sich an, wenn das System neu gestartet wurde

Stellen Sie sicher, dass Firewall und DHCP / DNS-Dienste für den Start festgelegt sind

  • Klicke auf das System> Start Tab
  • Stellen Sie sicher, dass alle Dienste aktiviert sind.
  • Klicke auf das rote X neben einem Dienst, wenn es zur Aktivierung deaktiviert ist. netzwerk, dnsmasq und firewall sind von besonderer bedeutung, um ausgeführt zu werden.

Alle Dienste auf Start eingestellt

Bestehende Firewall ersetzen

  • Deaktivieren Sie Ihre vorhandene Firewall
  • Setzen Sie den Himbeer-Pi ein
  • Stecken Sie das Internet / Modem-Kabel in die USB-Schnittstelle
  • Stecken Sie das LAN-Kabel Ihres Heimnetzwerk-Switches in die integrierte Schnittstelle
  • Schalten Sie den Raspberry Pi ein
Spitze: Wenn Sie keine Tastatur und keinen Monitor an Ihrer Firewall angeschlossen lassen, funktioniert das weiterhin einwandfrei. Sie können den Monitor und die Tastatur erneut anschließen, wenn Sie Fehler beheben oder über die serielle Schnittstelle eine Verbindung zur Firewall herstellen müssen (Anweisungen finden Sie auf der Seite elinux.org RPi Serial Connection). Die meisten Online-Fehlerbehebungen können durch Anmelden am Pi über SSH durchgeführt werden. Ein Monitor und eine Tastatur werden möglicherweise nur benötigt, wenn sie nicht im Netzwerk angezeigt werden.

Rekonfigurieren Sie die interne Schnittstelle

Diese endgültige Neukonfiguration der Schnittstelle führt zu der Adresse, die die alte Firewall verwendet hat. Auf diese Weise können vorhandene DHCP-Leases oder hartcodierte Adressen bei Ihnen zu Hause das Internet ohne Unterbrechung nutzen.

  • Melden Sie sich an der temporären IP-Adresse 192.168.1.2 an
  • Klicken Sie auf die Registerkarte Netzwerk> Schnittstellen
  • Klicken Sie neben der LAN-Schnittstelle auf Bearbeiten
  • Ändern Sie die IPv4-Adresse in die Adresse Ihrer vorherigen Firewall. Beispiel: 192.168.1.1
  • Klicken Sie auf Speichern und Übernehmen. Die Aufgabe wird im Browser nicht abgeschlossen, da Sie die Adresse der Firewall geändert haben
  • Melden Sie sich beim OpenWRT Raspberry Pi an der von Ihnen zugewiesenen neuen Adresse an, z. B. 192.168.1.1

Führen Sie den letzten Neustart und den Test durch

In seltenen Fällen stellte ich fest, dass das System einen Neustart benötigte, um alle Regeln und Dienste nach dem Verschieben von Schnittstellen anzupassen. Dieser letzte Neustart dient dazu, sicherzustellen, dass alles direkt nach dem Kaltstart eingerichtet ist. Dies bedeutet, dass Sie beim nächsten Stromausfall nach dem Wiedereinschalten immer noch in guter Verfassung sind.

  • Klicke auf das System> Neustart Tab
  • Klicke auf das Führen Sie einen Neustart durch verlinken und bestätigen
  • Warten Sie ca. 60 Sekunden, bis die Firewall startet
  • Testen Sie, ob Ihre Workstation tatsächlich eine neue DHCP-Adresse erhält und im Internet surfen kann

Herzliche Glückwünsche! Sie haben eine brandneue Firewall. Ein weiterer Einstellung der Einstellung trinken ist optional.

Zusammenfassung

In diesem Lernprogramm habe ich OpenWRT auf einem Raspberry Pi installiert, eine zweite USB-Netzwerkschnittstelle hinzugefügt und die Firewall zu Hause ersetzt. Die einfache Weboberfläche von OpenWRT bietet eine leistungsstarke und einfache Möglichkeit, Ihre neue Firewall zu verwalten. Diese Standardinstallation bietet grundlegende Firewall-Funktionen für Privatanwender, einschließlich Adressmasken, DHCP und DNS-Dienste.

Diese Fähigkeiten sind erst der Anfang. Für das openWRT steht ein umfangreicher Software-Katalog zur Verfügung, auf den über das Internet zugegriffen werden kann System> Software Tab. Es gibt Pakete, die VPN, Webserver und viele andere Funktionen bieten, die weit über die Möglichkeiten von Standard-Firewalls hinausgehen.

Computerfähigkeiten
×