Vor gut einem Monat durfte ich meine lokale Netzwerkstruktur ein wenig wenig umbauen. Dabei habe ich meinen alten Netgear Router rausgeschmissen. Ich wollte ein bisschen was „professionelleres“. Nach kurzer Suche bin ich auf Geräte-Serien gestoßen, die nativ mit DD-WRT unterstützen (ein kommerzieller Ableger der OpenWRT-Firmware). Hängen geblieben bin ich bei zwei Buffalo-Geräten:
- WHR-HP-G300N (400 MHz/32MB Ram)
- WZR-HP-AG300H (680 MHz/128MB Ram)
Beide Geräte werden ab Werk mit DD-WRT ausgeliefert. Die Hardware-Ausstattung ist für meine Verhältnisse üppig und reicht für den Home und Medium-Office Bereich. Auch wenn beide „eigentlich“ DD-WRTv24Sp2 einsetzten unterscheiden sich die tatsächlich eingesetzten Firmwares doch stark. Sie unterscheiden sich vor allem im Release-Date und den verfügbaren Features. Der kleinere G300N vermisst zum Beispiel CIFS Support, OpenVPN, beschreibbaren Speicher (JFFS2) usw. Dazu kommen Unterschiede in den ausgelieferten Software-Versionen. Beim G300N kommt BIRD als Routing-Daemon zum Einsatz, beim AG300H wird Quagga angeboten. Man könnte beide Geräte auch auf die offizielle DD-WRT Version zurück flashen, diese hingt der „Buffalo“ Version jedoch im Release hinterher (keine Ahnung was das für Auswirkungen hat). Leider bietet Buffalo die Sourcen der DD-WRT Software nicht zum download (oder ich hab den Link noch nicht gefunden) so muss man mit einigen „Eigenheiten“ leben. Dazu gleich mehr. Neben einem Farbbranding und ein paar Funktionseinschränkungen entspricht die Buffalo Version von DD-WRT der frei verfügbaren DD-WRT-Version.
Als erstes fällt beim Einsatz von DD-WRT auf, dass man nicht für einen Idioten gehalten wird. Man kann den Assistenten wegklicken! Nach der Änderung des Passwords darf man auf Wunsch gleich loslegen ohne sich durch einen Nerf-Dialog zu klicken. Standardmäßig ist Telnet und HTTP als „Fernwartung“ aktiviert. Das kann man aber einfach umkonfigurieren. SSH und HTTPS werden angeboten. Beide Varianten haben kleine Haken. HTTPS verwendet „fest“ eingebrannte selbst signierte Zertifikate (und ich würde wetten, dass die priv Keys nur pro Version-Build unterschiedlich sind). Will man dieses austauschen muss man gleich eine eigene Firmware einspielen da der /etc Bereich read-only gemounted ist. SSH bietet hingegen die Möglichkeit die Zertifikate zu ändern. Standardmäßig logt man sich dort hingegen als root ein. Da ist Vorsicht bei den Passwörtern geboten!
Neben diesen beiden „Fehlern“ fällt nur noch der Umstand auf, dass die Konfigurationsoberfläche stark auf den Betrieb eines Gateway-Routers ausgelegt ist. Hat man sich damit einmal abgefunden und verstanden, dass das br0-Interface (intern werden Birdges verschaltet) immer „das Interne“-Interface ist, entfaltet sich eine Konfiguationsvielfalt, die man sonst nur bei hochpreisigen Konkurrenten findet. Ein Beispiel: um auf den WAN – Port (eth1) zwei VLANs zu konfigurieren braucht es 3 Klicks. Will man WAN-VLAN1 ins br0-Netz bridgen ist das ein weiterer Klick. Will man nun das WLAN aus dem br0 nehmen und auf WAN-VLAN2 bridgen geht das mit unter 5 Klicks. Ohne auch nur ein mal das SSH-Terminal zu nutzen. Auf diesem Niveau geht es weiter. Statische Routen, sehr detaillierte Interface-Konfigurationen, fast alle Services und diverse Hilfseinstellungen lassen sich über das WebInterface bequem und umfangreich konfigurieren.
Ich hab den SSH-Zugang dennoch häufig genutzt. Das hat drei Gründe:
- Die Zeit die man zum Konfigurieren braucht: alle Einstellungen erfordern das Schreiben in den NVRam, das anschließende auslesen dieser Informationen und das durchstartet des betroffenen Dienstes. Da DD-WRT aber nicht „weiß“ welcher Dienst betroffen ist, wird alles durchgestartet. Beispiel: ändert man an der PPPoE Einstellung etwas, werden mal ebend alle Dienste durchgestartet auch der Routing-Dienst (BIRD/ZEBRA). Der Router ist erst mal eine Weile beschäftigt. Wird ein Routing-Dienst eingesetzt und befindet man sich außerhalb der direkten Router-Netze muss man erst mal warten, bis die Routing-Tabellen wieder stehen. Wenn man weiß was mach macht, kann man auf der Konsole in aller Ruhe an der Config-File rum fuschen. nur den betroffenen Dienst durchstartet und wenn alles wie gewünscht funktioniert, alles in den NVRam speichern.
- Einige exotische Einstellungen kann man „nur“ über die Konsole machen. Das WebInterface bietet zwar die Möglichkeit 3 Skriptes zu hinterlegen (StartUp, FirewallUp,ShutDown) und direkt Konsolen-Befehle auszuführen, mir fehlt hier aber das Feedback. Ich hab die Skriptes immer erst im Terminal ausprobiert und dann als Skript hinterlegt.
- Einige Eingabemasken führen quasi eins zu eins auf ein Config-File für einen Dienst. Startet man dann durch und hat einen Syntax-Fehler bekommt man keine Rückmeldung. Auch hier gilt: erst auf der Konsole ausprobieren und dann hinterlegen.
Bei den ganzen Konfigurations-Möglichkeiten sollte noch erwähnt werden, dass alle Interfaces frei konfigurierbar sind. Selbst wenn das WebInterface dann ein wenig zickt. Es werden alle Ethernet und WLan Ports einzeln an das OS gemeldet. Im Falle des AG300H (DualBand) muss man den 2.4Ghz Adapter getrennt vom 5GHz konfigurieren (auch im WebInterface). Einzig die internen LAN-Ports werden durch eine nicht konfigurierbaren Hardware-Switch verschaltet. So muss man ein wenig aufpassen was man am eth0-Port macht.
Was bleibt abschließend zu sagen? Ich bin vom Funktionsumfang der Firmware sehr positiv überrascht. Es wird einem fast alles geboten, was man so braucht. Für alles andere gibt es das SSH-Terminal. Der WNR3500 war wohl mein letzter nicht WRT Router gewesen sein.
Hallo, zur zeit versuche ich, den AG300H dazu zu bewegen zwei VLANs, die mit Hilfe eines Switches verwaltet werden, getrennt ins Internet zu routen. (Gast VLAN).
Leider habe ich selber zu wenig Wissen, wie der AG300H zu konfigurieren ist.
Hilfe wäre sehr willkommen.
Danke + Gruß
Christoph
In einem Kommentar kann man das schlecht durchsprechen. Das einfachste wäre wenn du mit mir per Mail oder ICQ Kontakt aufnimmst.
Wenn du wirklich nur ein Gast-(Kabel)VLAN anbieten willst musst du folgendes machen:
danke, das probiere ich aus.
Gruß
C
Servus,
ich möchte in einem Haus mit Ferienwohnungen den einzelnen Wohnungen einen Internetzugang über einen 3G-Router einrichten.
Insgesamt 5 TP-Link TL-WA801ND sollen je vier Wohnungen versorgen, jede Wohnung ein eigenes SSID mit VLAN.
Dazwischen sollte ein Switch (Netgear GS110TP) geschaltet werden.
Die Frage: kann man den WZR-HP-AG300H so einrichten, dass er von jedem der 20 VLANs den Verkehr über ein 3G-USB-Stick ins/vom Internet ermöglicht?
Beste Grüße!
Servus,
meine Anfrage vom 28.11.2012 hat sich erledigt: am Switch die VLANs unter 802.1q als untagged an (hier einen anderen) 3G-Router weitergegeben, und schon verstehen sich Rechner und Internetzugang, ohne dass sich (zumindest mit ping getestet) die Rechner in unterschiedlichen SSIDs/VLANs sehen.
Falls hier jemand ein Sicherheitsproblem identifiziert, bitte posten!
Beste Grüße!
Also wie du selbst raus gefunden hast, ja das geht. Ich kam nur noch nicht zum antworten. Allerdings versteh ich den Sinn nicht. Bei 20 SSIDs wirst du einen Haufen Aufwand treiben müssen, dass es nicht zu überlappenden Zellen kommen. Ganz zu schweigen von dem Administrativen Aufwand (wo ich auch das größte Sicherheitsproblem sehe: Fehlkonfiguration).
Da würde ich dir eher zu einem offen WLAN raten (das nicht ins Internet geroutet wird) und dann divers VPN-Gateways die ins Internet leiten. Bei den VPN kann man meist einstellen ob sich die Clients untereinander sehen oder nicht.