Im zweiten Post geht es darum, die Netzwerkschnittstellen für den im vorherigen Post beschriebenen Router zu konfigurieren. In der englischsprachigen OpenWRT-Dokumentation wird davor gewarnt, dass die Begrifflichkeiten von OpenWRT in dieser Beziehung verwirrend sein können, insbesondere wenn man Erfahrung mit Linux-Systemen hat. Das Interface oder die Schnittstelle von OpenWRT unterscheidet sich von dem, was unter Linux als Interface bezeichnet wird.
Unter OpenWRT wird zwischen Netzwerkschnittstellen oder Interfaces und Geräten oder Devices unterschieden. Geräte sind z.B. physikalische Ethernet-Schnittstellen, die durch eine MAC-Adresse gekennzeichnet sind. Ein Gerät kann aber auch ein virtueller Ethernet-Port für ein VLAN oder eine Netzwerkbrücke (Bridge) sein, die mehrere physikalische Ethernet-Schnittstellen miteinander verbindet. Es gibt noch weitere Arten von Geräten, die aber für diese Anwendung keine Rolle spielen.
Eine Schnittstelle im Sinne von OpenWRT verbindet dagegen ein Gerät mit einem (IP-) Netzwerk. Die Zuweisung des Netzwerks geschieht über ein eingestelltes Protokoll. Wichtige Beispiele für Protokolle sind hier Statisch oder DHCP.
Wenn wir uns noch einmal an die schematische Darstellung der Router-Architektur erinnern, dann sehen wir, dass der interne Rechner des Routers nur eine einzige physikalische Netzwerkschnittstelle hat: eth0. Die von außen zugänglichen Ethernet-Ports sind über einen Switch mit dieser Schnittstelle verbunden. In der Grundkonfiguration nach dem Flashen des Routers ist eth0 bereits als Gerät konfiguriert. Auf diesem Gerät ist eine virtuelle Schnittstelle für das VLAN 1 (eth0.1) aufgesetzt und auf diesem wiederum eine Bridge.
Für den geplanten Betrieb als Haupt-Router im Netzwerk werden mehrere VLANs benötigt, die jetzt eingerichtet werden sollen. Dazu müssen zunächst die entsprechenden Geräte angelegt werden.
Anlegen von Netzwerkgeräten
Um neue Netzwerkgeräte unter OpenWRT anzulegen, geht man auf der LuCI-Oberfläche in das Menü Network -> Interfaces und dort auf den Reiter Devices. Dann klickt man unten auf „Add device configuration“. Der jetzt erscheinende Dialog beginnt mit einem Auswahlfeld „Device type“.
Unter den dort angebotenen Auswahlmöglichkeiten benötigen wir nur die Bridge und ein VLAN nach IEEE 802.1Q. Netzwerkgeräte gibt es beim Archer C6 nur eines (eth0), das bereits eingerichtet wurde. Zum Einrichten von VLANs wählen wir VLAN (802.1q) aus. Unter dem Gerätetyp gibt es jetzt eine Auswahlmöglichkeit für Basisgeräte. Hier ist eben das einzig verfügbare (eth0) einzutragen. Darunter muss die VLAN Id angegeben werden. Der Gerätename, der in das Feld darunter eingetragen werden soll, wird automatisch aus Basisgerät und VLAN Id gebildet, wenn man die Id eingibt. MTU, MAC-Adresse und die anderen Einstellungen kann man unverändert lassen.
Sobald man auf Save klickt, werden die Änderungen an der Konfiguration zunächst zwischen gespeichert, aber noch nicht angewandt. Erst wenn man danach auf „Save and Apply“ klickt, werden die Änderungen übernommen. Aber auch das ist zunächst nur vorläufig. Wenn nach dem Übernehmen der Änderungen nicht innerhalb von 90 Sekunden wieder eine Verbindung zwischen Web-Browser und Server besteht, werden die Änderungen wieder rückgängig gemacht. Dies dient dazu, Fehlkonfigurationen zu vermeiden, durch die man die Verbindung zum Router verliert.
Um die Netzwerkarchitektur zu realisieren, wie sie im vorherigen Post beschrieben wurde, müssen mit dem primären Netzwerkgerät eth0 als Basis 5 VLANs entsprechend der folgenden Tabelle eingerichtet werden.
| VLAN | VLAN-Id | Netzwerk | IP-Adresse |
| LAN | 1 | 192.168.1.0/24 | 192.168.1.1 |
| IoT | 2 | 192.168.2.0/24 | 192.168.2.1 |
| Gast | 3 | 192.168.3.0/24 | 192.168.3.1 |
| TV | 4 | 192.168.4.0/24 | 192.168.4.1 |
| WAN | 5 | 192.168.128.0/24 | 192.168.128.1 |
Netzwerkbrücken
Neben den VLANs wird man bei der Konfiguration von Routern gelegentlich Netzwerkbrücken, sogenannte bridges benötigen. Netzwerkbrücken dienen dazu, zwei oder mehrere Netzwerkgeräte transparent miteinander zu verbinden. Dies wird z.B. beim Einrichten von WiFi-Zugängen benötigt.
Bei der Einrichtung einer Bridge müssen unter „Bridge ports“ alle Geräte angegeben werden, die miteinander verbunden, also gebrückt werden sollen. Hier können dementsprechend nicht nur eines, sondern mehrere vorher eingerichtete Geräte selektiert werden. Darüber hinaus muss der Brücke noch ein Name gegeben werden. Die anderen Felder können offen gelassen werden.
Netzwerkschnittstellen
Nachdem alle Geräte eingerichtet wurden, geht es zurück auf den Reiter „Interfaces“. Wie oben beschrieben, verbindet eine Schnittstelle ein Netzwerkgerät mit einem IP-Netz. Die Zuweisung einer IP-Adresse kann entweder über DHCP oder statisch erfolgen. In dem hier beschriebenen Fall dient der Router selbst als DHCP-Server. Dementsprechend müssen alle IP-Adressen statisch eingetragen werden.
Um eine neue Schnittstelle zu konfigurieren, klickt man auf „Add new interface…“. Es erscheint ein Dialog, in dem der Name der Schnittstelle, das Protokoll und das Netzwerkgerät eingegeben werden muss. „Protokoll“ meint in diesem Zusammenhang, ob die IP-Adresse über DHCP abgefragt oder statisch festgelegt werden soll. Darüber hinaus kann das Netzwerk auch „Unmanaged“ betrieben werden, d.h. der Router erhält selbst keine eigene IP-Adresse, die Daten werden stattdessen nur auf den darunter liegenden Ebenen weiter geleitet. Für die Konfiguration des Haupt-Routers muss hier statisch ausgewählt werden.
Darunter ist dann das Netzwerkgerät auszuwählen, auf das aufgesetzt werden soll. Schließlich muss der Schnittstelle noch ein Name gegeben werden. Danach wird die Schnittstelle mit einem Klick auf „Create interface“ erzeugt.
Danach erscheint ein weiterer Dialog, in dem abhängig vom ausgewählten Protokoll weitere Daten eingegeben werden müssen. Wenn „Static address“ als Protokoll ausgewählt wurde, ist das natürlich allem voran die IP-Adresse und die Netzmaske. Alternativ kann beides zusammen auch in CIDR-Notation angegeben werden. Sofern sich innerhalb des Netzes, das sich als IP-Adresse und Netzmaske ergibt, noch ein Gateway zu anderen Netzen befindet, muss dessen IP-Adresse unter Gateway eingetragen werden. Dies betrifft aber nur andere Router als den gerade zu konfigurierenden. Die eigene IP-Adresse des Gerätes soll hier nicht eingetragen sein, auch wenn es als Gateway dient. Die Broadcast-Adresse ist üblicherweise die höchste Adresse des durch Adresse und Netzmaske gegebenen Netzes. Eine davon abweichende Broadcast-Adresse kann in diesem Dialog ebenfalls eingegeben werden. Schließlich kann hier auch noch ein IPv6-Netz konfiguriert werden.
Neben dem „General Settings“-Reiter gibt es noch weitere Reiter in diesem Dialog: „Advanced Settings“, „Firewall Settings“ und „DHCP Server“. Die „Advanced Settings“ können zunächst mal unverändert gelassen werden. Auf das Thema Firewall wird später eingegangen. Stattdessen schauen wir uns die DHCP-Server Einstellungen an.
DHCP-Server
Sofern nicht in allen Netzwerkgeräten im Haus eine statische IP-Adresse konfiguriert werden soll (Spätestens wenn sich Ihre Gäste im Gastnetz einwählen wollen, wäre das völlig unpraktikabel) muss ein DHCP-Server betrieben werden. Der DHCP-Server teilt Internetgeräten eine IP-Adresse zu und sorgt dafür, dass jede Adresse nur einmal vergeben wird. OpenWRT enthält dazu von Hause aus DNSMasq, einem einfachen DHCP- und DNS-Server, der gut zu den typischen Bedürfnissen in einem Heimnetzwerk passt.
Die ersten DHCP-Konfigurationen erfolgen bereits beim Einrichten der Netzwerkschnittstellen. In der Konfiguration der Netzwerkschnittstellen geht man dazu auf den Reiter DHCP. Hier gibt es wieder drei Unterreiter.
Im ersten („General Setup“) kann der IP-Nummernbereich eingestellt werden, der vergeben wird. Dazu gibt man mit Start den Offset der ersten Adresse zum Beginn des konfigurierten Nummernblocks und die maximale Anzahl an Adressen an, die vergeben werden können.
Hat man z.B. als Adressbereich der Schnittstelle 192.168.12.192/27 konfiguriert und 192.168.12.200 soll die erste zu vergebende Adresse sein, muss als Offset 8 angegeben werden. Da 192.168.12.255 als Broadcast-Adresse benutzt wird, können maximal 54 Adresse vergeben werden. Dies muss als Limit eingestellt werden.
Unter Lease time gibt man die zeit an, für die eine IP-Adresse an einen Klienten vergeben wird. Nach Ablauf dieser Zeit gilt die Adresse wieder als frei verfügbar und die Klient muss eine neue IP anfordern. Schließlich kann der DHCP-Server für diese Schnittstelle auch komplett deaktiviert werden. Dazu muss das Feld Ignore interface aktiviert werden.
In den „Advanced-Settings“ ist noch das Feld DHCP-Options interessant. Hier können weitere Optionen eingetragen werden, die den Clients per DHCP mitgegeben werden können. Dies können z.B. alternative DNS-Server sein oder Routing-Informationen. Eine Liste aller möglichen DHCP-Optionen findet man in der englischsprachigen Wikipedia. Unbedingt aktiviert sein muss das Feld Dynamic DHCP, wenn unbekannte Geräte sich in das Netzwerk einwählen können sollen. Wenn das Feld nicht aktiviert ist, werden nur DHCP-Anfragen von Geräten beantwortet, deren MAC-Adresse im DHCP-Server für eine statische IP-Adresse eingetragen wurde.
Nachdem alle Einstellungen vorgenommen wurden, kann der Dialog mit „Save“ beendet und die Änderungen anschließend mit „Save and Apply“ übernommen werden. Auf diese Weise muss zu jedem Netzwerkgerät, d.h. also zu jedem VLAN ein Interface eingerichtet werden. Die Netzwerkeinstellungen für unser Beispielnetzwerk können der Tabelle weiter oben entnommen werden.
Nach der Einrichtung der Netzwerkschnittstellen geht’s dann weiter mit der Konfiguration des Switches.