Bislang sah unser Heim-Netzwerk aus wie viele andere auch. Eine FritzBox wurde als Router eingesetzt, der den VDSL-Anschluss mit dem Heimnetzwerk verband und für dieses auch den DHCP-Server zur Verfügung stellte. Das Heimnetzwerk selbst war ein logisches Netzwerk. Das heißt natürlich auch, dass alle Geräte im Heimnetz auf alle anderen und auf das Internet unbeschränkt zugreifen können. Mit der zunehmenden Vernetzung (Stichwort SmartHome und IoT) ist das vielleicht nicht unbedingt das, was man haben möchte. Und auch Gäste, denen man freundlicherweise Zugriff aufs WLAN gewährt, sollen vielleicht nicht immer alle Geräte im Netz sehen können. Deshalb habe ich mich mit OpenWRT beschäftigt, um damit einen zentralen Netzwerk Router aufzusetzen, mit dem ich eine Netzwerkarchitektur realisieren kann, die diesen Anforderungen genügt.
Die Netzwerkarchitektur
Das Heimnetz soll in mehrere logische Netze sogenannte VLANs unterteilt werden. Je ein VLAN für IoTs, für Gäste und für das eigentliche Heimnetz. Um dies zu realisieren braucht es einen zentralen Router, der auch DHCP und ggf. DNS-Server zur Verfügung stellt. Ich habe mich dazu entschieden, hier ein günstiges Consumergerät zu nehmen und auf dieses OpenWRT zu installieren. Die Wahl fiel schließlich auf ein tp-Link Archer C6, der die Hardware-Vorraussetzungen für ein aktuelles OpenWRT erfüllt und sich direkt von Web-GUI mit OpenWRT flashen lässt.
Noch ein Wort zum IoT und zum Gäste VLAN. Das IoT-Netz besteht aktuell aus einem Raspberry Pi, der über LAN eine Gartenbewässerung steuert. Ob und was in der Zukunft noch dazu kommt, ist derzeit noch nicht abzusehen. Die Einrichtung eines Gäste-VLANs scheitert im Moment noch an der mangelnden Fähigkeit der Access Points ein Gäste WLAN auf ein separates VLAN abzubilden. Wir verwenden 3 Deco M4 von tp-Link, die zwar ein zuverlässiges WLAN zur Verfügung stellen, aber diese Funktionalität leider nicht bieten. Der Reaktion von tp-Link auf einen entsprechenden Feature Request im tp-Link-Forum nach zu urteilen, ist mit dieser Funktionalität auch nicht zu rechen. Ich plane daher, demnächst auch auf den Decos OpenWRT zu installieren, aber dazu wirds dann einen eigenen Beitrag geben. Das Heimnetz soll also final wie im folgenden Bild aussehen.
Im Zentrum befindet sich ein Router, der, wie schon erwähnt, mit einerm tp-Link Archer C6 realisiert wird. Auf der einen Seite ist dieser Router über das WAN-VLAN mit einer Fritzbox verbunden, die als VDSL-Router die Verbindung zum Internet darstellt. Zudem sehen wir vor, dass an diesem VLAN auch ein Raspberry-Pi angebunden werden kann, der abgetrennt vom internen Netz von außen erreichbar sein kann.
Intern gibt es vier VLANs: IoT, Gast, LAN und TV, die mit einem VLAN-fähigen Switch im Haus verteilt werden. Auf den VLANs sollen die folgenden Netzwerke eingerichtet werden:
| VLAN | VLAN-Id | Netzwerk |
| LAN | 1 | 192.168.1.0/24 |
| IoT | 2 | 192.168.2.0/24 |
| Gast | 3 | 192.168.3.0/24 |
| TV | 4 | 192.168.4.0/24 |
| WAN | 5 | 192.168.128.0/24 |
Installation von OpenWRT
Für die Installation habe ich mich an die Anleitung auf der Internetseite des OpenWRT-Projekts gehalten. Hier gibt es zum einen eine generische Installationsanleitung, als auch spezifische Informationen zum Archer C6. In letzterer finden sich auch Links zu aktuellen Image-Dateien mit einer gerätespezifischen Firmware, die ich zur Vorbereitung heruntergeladen und auf meinem Rechner gespeichert habe.
Der eigentlich Vorgang des Flashens ist denkbar einfach. Den fabrikneuen Archer habe ich mit einem Ethernet-Kabel direkt an meinem Rechner angeschlossen und eingeschaltet. Nachdem ich mich davon überzeugt habe, dass eine Verbindung besteht und der Rechner eine IP erhalten hat, habe ich mit einem Web-Browser die Konfigurationsseite aufgerufen, dort das Firmware-Image hochgeladen und das Beschreiben des Flash Speichers gestartet. Nach dem Flashen bootet der Archer automatisch neu. Ggf. muss man jetzt die Ethernet-Verbindung zum Rechner kurz unterbrechen, damit dieser eine neue IP-Adresse anfragt. Danach kann man mit dem Browser die Login-Seite des Routers aufrufen.
Hier meldet sich zum ersten mal LuCI, das WEB-GUI von OpenWRT. Man wird nach Benutzernamen und Passwort gefragt. Der Benutzername ist root, das Passwort-Feld wird beim ersten Login leer gelassen. Gleich nach dem Login sollte man ein gutes Passwort setzen, um Dritten den Zugriff auf den Router zu verwehren.
Router Architektur
Bevor man sich ans Konfigurieren des Routers macht, sollte man sich klar machen, wie der Router intern logisch aufgebaut ist.
Der Archer C6 stellt einen Ethernet-Port für das WAN und vier LAN-Ports zur Verfügung. Intern gehen alle fünf Ports auf einen Switch. Ein sechster Port dieses Switches ist über die Schnittstelle eth0 mit der CPU verbunden.
Der WAN-Port unterscheidet sich also gar nicht so grundsätzlich von den LAN-Ports, wie es zunächst den Anschein hat. Vielmehr handelt es sich um gleichberechtigte Ports des internen Switches. Um den Datenverkehr zwischen den LAN-Ports und dem WAN-Port zu trennen, werden auf der Verbindung zur CPU VLANs benutzt. Die externen Switch-Ports werden dann diesen VLANs zugeordnet. Unter OpenWRT ist diese Zuordnung frei konfigurierbar. Es ist auch möglich VLANs getaggt auf die externen Ports zu geben, z.B. um den internen Switch mit einem externen, VLAN-fähigen Switch zu erweitern.
Um den Router einzurichten, müssen nun die folgenden Schritte ausgeführt werden.
- Einrichten der VLANs
- Einrichten von DHCP und DNS Server
- Konfigurieren des Routings
- Konfiguration der Firewall
Im nächsten Post wird beschrieben, wie die VLANs unter OpenWRT eingerichtet werden.