Donnerstag, 8. Oktober 2015

Gäste WLAN auf einem OpenWRT Access Point

Gäste WLAN auf einem OpenWRT Access Point


In diesem Beitrag, möchte ich euch zeigen, wie man auf einem als Access Point konfigurierten Router mit OpenWRT Firmware, ein Gäste WLAN einrichtet.
Und zwar ohne VLAN!

Heutzutage bringt eigentlich jeder halbwegs moderne WLAN Router eine Gäste Funktion mit. Sinn und Zweck dieser Funktion ist, dass man Besuchern oder fremden Personen einen WLAN Zugang anbieten kann, dabei aber keinen Zugriff auf das interne Netzwerk, zB. auf die Fotos und Daten im NAS, gewährt sondern nur den Zugriff ins Internet.
Eine nützliche Funktion wie ich finde. Leider steht diese Funktion oftmals nur zur Verfügung, so lange der Router auch im Router Betrieb ist. Kaufst du dir also solch ein Gerät um dein WLAN Netzwerk zu erweitern, hast du oft das Pech, dass diese Funktion im Access Point Modus deiner Errungenschaft nicht mehr zur Verfügung steht...
Das geht sogar so weit, dass es bei Providern Leute gibt welche keine Ahnung haben und nun argumentieren, dass der Router zentral ins Wohnzimmer gehört und man sich mit Repeater Lösungen helfen soll. Da bauen diese Leute ein Gerät mit steinzeitlichen Funktionen und verkaufen das Gerät als das neu entdeckte Feuer und dann solche Argumente?... Ehrlich, no comment!

Die folgende Lösung hat verschiedene Vorteile: So funktioniert das Ganze unabhängig vom bestehenden Router des Providers. Egal wie viel oder wie wenig dieser Router kann, diese Lösung ist nicht vom Provider abhängig. Daher ist es auch nicht nötig, sich Gedanken über eine allfällige VLAN Konfiguration zu machen. Ebenfalls entfällt eine zweite Ethernet Verbindung auf den Access Point, wie sie bei einigen sehr einfachen Lösungen notwendig wäre. Ebenfalls entfallen Repeater Geschichten und der Access Point kann dort platziert werden wo die Wireless Verteilung am optimalsten ist (sofern eine Ethernetverbindung vorhanden (in Neubauten oft vorhanden)).
"Nachteile" wären folgende: Erfordert ein OpenWRT taugliches Gerät, Eigeninteresse und Freude an der Technik. Konfiguration auf mehr als einem Gerät nötig.

(Der Artikel beschreibt die Konfiguration eines als Access Point konfigurierten Gerätes! Die Gäste Konfiguration im normalen Router Betrieb, ist im OpenWRT Wiki bereits genügend beschrieben. http://wiki.openwrt.org/doc/recipes/guest-wlan-webinterface
Zudem handelt es sich hier um EINE mögliche Konfiguration und nicht DER einzigen Möglichkeit )


Rezept

1x OpenWRT tauglicher WLAN Router : http://wiki.openwrt.org/toh/start
1x Gäste WLAN
1x Gast Interface
1x Firewall Zone Gast
1x Masquerading
2x Firewall Regeln (nach Belieben erweitern und abschmecken)

Grundkonfiguration

Auf die Grundkonfiguration gehe ich nicht gross ein. Ich gehe davon aus, dass man bereits einen WLAN Router mit OpenWRT Firmware in Betrieb hat und das WLAN bzw. der Betrieb als Access Point bereits konfiguriert ist. Hilfe zur AP Konfiguration gibt es durch das OpenWRT Wiki: http://wiki.openwrt.org/doc/recipes/dumbap
Wichtig: Damit folgende Konfiguration funktioniert, muss das WAN Interface (LAN-br) via DHCP eine Adresse vom Router erhalten. Zb. über einen statischen DHCP lease. Die statische Konfiguration des Interfaces funktioniert nicht. (Sollte mal schauen wieso.)

Anleitung


1. Gäste ESSID erstellen

Als erstes eröffnet man unter der bereits bestehenden ESSID ein neues WLAN für die Gäste. Der Name des Netzwerkes muss eindeutig sein damit man sich später Wahlweise in das richtige Netzwerk einbuchen kann.
Im Falle von Dual Band Router kann man in beiden Bändern oder auch nur in einem das Netz für die Gäste freigeben.

Neues Netzwerk zum bereits bestehenden hinzufügen.


Diesem WLAN vergibt man eine eindeutige ESSID.
Zudem erstellt man beim Punkt Network auch noch gleich ein neues Netzwerk zB. mit dem Namen guest.
Bevor man auf den Reiter Wireless Security wechselt, speichert man diese Änderungen mit Save zwischen.




Als Verschlüsselung empfehle ich WPA2-PSK. Dazu gehört natürlich noch ein sicheres Passwort.
Diese Arbeit schliesst man mit einem Save & Apply ab.


Über Network Interfaces gehen wir zum nächsten Schritt.
In der Übersicht sieht man das erstelle Interface Guest. In diesem Fall habe ich diesem Interface bereits 2 WLAN ESSID's hinzugefügt (2,4 und 5GHZ).
Ein Klick auf Edit öffnet das Interface.


2. Gast Interface konfigurieren

In diesem Schritt konfigurieren wir das Gäste Interface. Wir vergeben dem Interface eine IP ausserhalb des bestehenden IP Ranges des LAN (und anderen im gesamten Netzwerk). Zudem aktivieren wir für die Gäste einen eigenen DHCP Server.


Dem Gäste Interface vergeben wir eine statische IP.
Hierzu muss man bei Protocol den entsprechenden Punkt aktivieren und zudem noch auf Switch protocol drücken.


Wie bereits beschrieben, muss sich die IP des Interfaces vom bestehen IP Range des LAN unterscheiden. In diesem Fall nehme ich die 192.168.66.1/24.
Auszufüllen ist die IPv4 Adresse, die Netzmaske und das Gateway, welches zugleich der IP des Gäste Interfaces entspricht.
Zudem muss man noch öffentlich erreichbare DNS hinzufügen. Hier habe ich mit 8.8.8.8 und 8.8.4.4 die von Google genommen.

Unter dem Punkt DHCP Server geht man sicher, dass dieser aktiviert ist und den Bedürfnissen nach entsprechen eingestellt ist.
Diese Arbeit speichert man mit Save zwischen.

Über den Reiter Firewall Settings erstellen wir für das Interface noch eine eigene Firewall Zone.


Hier wird die Firewall Zone erstellt. Diese kann man ebenfalls zB. guest nennen.
Abschliessend drückt man Save & Apply.


In der Übersicht kann man nun nochmals sicherstellen, dass sich die IP Bereiche des LAN und des Gäste Netzwerkes unterscheiden.
Über Network, Firewall gelangt man zum nächsten Punkt.

3. Firewall Zonen Konfiguration

Hier möchten wir dem Gäste Netzwerk den Zugriff zum Internet ermöglichen, den Zugriff auf das LAN aber unterbinden. Dazu wenden wir den Trick des Masquerading an und erstellen 2 Firewall regeln.

Unter den Zonenübersicht halten wir uns nicht lange auf. Wir editieren gleich die entsprechende Gäste-Zone.


Hier aktivieren wir Masquerading, markieren das entsprechende Netzwerk (guest) und erlauben das Forwarding auf die LAN Zone.
Bevor man auf den Reiter Traffic Rules wechselt, speichert man diese Arbeit zwischen.


Über den Reiter Traffic Rules gelangen wir zur Regelkonfiguration.


4. Firewall Regelkonfiguration


Der vierte und letzte Punkt.
Hier erstellen wir ein Source NAT welches den Traffic des Gäste WLAN's auf die IP des Acees Points umbiegt und erstellen eine zusätzliche Regel, welche dem Gäste Netzwerk den Zugriff auf das LAN unterbindet.


Unter Source NAT, New Source NAT erstellen wir die Regel Nummer eins.
Also Namen vergeben, Quell- und Zielzone auswählen und als Quell IP die IP des Access Points auswählen.
Über Add and edit gehts zum nächsten Punkt.


Hier nochmals prüfen ob alles korrekt übernommen wurde und mit Save & Apply speichern.


Zeit für die zweite Regel.
Unter New forward rule unterbinden wir den Zugriff auf das LAN.
Punkte richtig auswählen, benamseln und mit Add and edit ab zur Konfiguration.


Hier wechseln wir unter Protocol auf Any und gehen sicher das die Netzwerke korrekt ausgewählt sind.
Unter Destination address geben wir den IP Range des LAN an. BTW: Bei einem Standard Swisscom Netzwerk wäre das die 192.168.1.0/24. Als fleissige Leser von tuxone.ch gehe ich aber davon aus, dass ihr hier etwas individuelles habt. Logo :)
Unter Action wechseln wir auf reject oder drop. Ich bevorzuge hier reject. Wir lassen die Gäste nicht warten und geben lieber gleich den Tarif durch.
Zum Schluss noch ein abschliessenden Save & Apply.


Sieht die Regel nun Plus/Minus so aus? Gut ihr habts im Grundsatz geschafft!
Nun noch ein beherzter Reboot der Kiste und die Sache rennt.

Abschmecken

Das Abschmecken ist individuell. Evtl. habt ihr vor dem Access Pint bereits eine Firewall welche zB. eine DMZ zur Verfügung stellt.
Nun könnte man auf dieser Firewall die Source IP des Access Points bezüglich Zugriff auf die DMZ einschränken oder ihr macht dies auch über die Firewall des OpenWRT AP's.
In der aktuellen Konfiguration hätten die Clients im Gäste Netzwerk zudem noch immer Zugriff auf den Access Point (welchen ihr natürlich mit Passwort geschützt habt).
Daher anbei noch 2 Konfigurationsbeispiele zu den genannten Punkten.
Des weiteren sind die Clients im Gästenetzwerk nicht isoliert auch bekannt als AP Isolation. Kein Problem. Ich habe die Konfiguration möglichst einfach über das WUI LUCI beschrieben. Dieser Punkt muss man aber über die Shell lösen. Unter /etc/config/wireless ergänzt man unter den Gäste WLAN's folgende Zeile: option 'isolate' 1

Beispiel: Reject der Gäste auf Port 80 (http) und 22 (SSH) auf Access Point

Beispiel Konfiguration. Sperre der Gäste auf einen zusätzlichen IP Range im Netzwerk, zB. einer DMZ.