Gastnetzwerk Erweiterung der Swisscom Internet Box

Isoliertes Netzwerk in der Swisscom Internet Box

Vorwort

In diesem Beitrag erkläre ich wie man mit der aktuellen Firmware der Internet Boxen, ein Gastnetzwerk, auch bekannt als isoliertes Netzwerk im LAN oder eigener WLAN Hardware einsetzen kann.

Ich habe nichts davon zu Hause, ist ja wohl klar, trotzdem seid versichert, dass diese Funktion die hier beschrieben wird genau so funktioniert.

Gäste WLAN auf einem OpenWRT Access Point

Gäste WLAN auf einem OpenWRT Access Point

In diesem Beitrag, möchte ich euch zeigen, wie man auf einem als Access Point konfigurierten Router mit OpenWRT Firmware, ein Gäste WLAN einrichtet.
Und zwar ohne VLAN!

Heutzutage bringt eigentlich jeder halbwegs moderne WLAN Router eine Gäste Funktion mit. Sinn und Zweck dieser Funktion ist, dass man Besuchern oder fremden Personen einen WLAN Zugang anbieten kann, dabei aber keinen Zugriff auf das interne Netzwerk, zB. auf die Fotos und Daten im NAS, gewährt sondern nur den Zugriff ins Internet.
Eine nützliche Funktion wie ich finde. Leider steht diese Funktion oftmals nur zur Verfügung, so lange der Router auch im Router Betrieb ist. Kaufst du dir also solch ein Gerät um dein WLAN Netzwerk zu erweitern, hast du oft das Pech, dass diese Funktion im Access Point Modus deiner Errungenschaft nicht mehr zur Verfügung steht...
Das geht sogar so weit, dass es bei Providern Leute gibt welche keine Ahnung haben und nun argumentieren, dass der Router zentral ins Wohnzimmer gehört und man sich mit Repeater Lösungen helfen soll. Da bauen diese Leute ein Gerät mit steinzeitlichen Funktionen und verkaufen das Gerät als das neu entdeckte Feuer und dann solche Argumente?... Ehrlich, no comment!

Die folgende Lösung hat verschiedene Vorteile: So funktioniert das Ganze unabhängig vom bestehenden Router des Providers. Egal wie viel oder wie wenig dieser Router kann, diese Lösung ist nicht vom Provider abhängig. Daher ist es auch nicht nötig, sich Gedanken über eine allfällige VLAN Konfiguration zu machen. Ebenfalls entfällt eine zweite Ethernet Verbindung auf den Access Point, wie sie bei einigen sehr einfachen Lösungen notwendig wäre. Ebenfalls entfallen Repeater Geschichten und der Access Point kann dort platziert werden wo die Wireless Verteilung am optimalsten ist (sofern eine Ethernetverbindung vorhanden (in Neubauten oft vorhanden)).
"Nachteile" wären folgende: Erfordert ein OpenWRT taugliches Gerät, Eigeninteresse und Freude an der Technik. Konfiguration auf mehr als einem Gerät nötig.

(Der Artikel beschreibt die Konfiguration eines als Access Point konfigurierten Gerätes! Die Gäste Konfiguration im normalen Router Betrieb, ist im OpenWRT Wiki bereits genügend beschrieben. http://wiki.openwrt.org/doc/recipes/guest-wlan-webinterface
Zudem handelt es sich hier um EINE mögliche Konfiguration und nicht DER einzigen Möglichkeit )

Rezept

1x OpenWRT tauglicher WLAN Router : http://wiki.openwrt.org/toh/start

1x aktuelle OpenWRT Firmware: http://wiki.openwrt.org/doc/howto/obtain.firmware.download

1x Gäste WLAN

1x Gast Interface

1x Firewall Zone Gast

1x Masquerading

2x Firewall Regeln (nach Belieben erweitern und abschmecken)

Grundkonfiguration

Auf die Grundkonfiguration gehe ich nicht gross ein. Ich gehe davon aus, dass man bereits einen WLAN Router mit OpenWRT Firmware in Betrieb hat und das WLAN bzw. der Betrieb als Access Point bereits konfiguriert ist. Hilfe zur AP Konfiguration gibt es durch das OpenWRT Wiki: http://wiki.openwrt.org/doc/recipes/dumbap
Wichtig: Damit folgende Konfiguration funktioniert, muss das WAN Interface (LAN-br) via DHCP eine Adresse vom Router erhalten. Zb. über einen statischen DHCP lease. Die statische Konfiguration des Interfaces funktioniert nicht. (Sollte mal schauen wieso.)

Anleitung

1. Gäste ESSID erstellen

Als erstes eröffnet man unter der bereits bestehenden ESSID ein neues WLAN für die Gäste. Der Name des Netzwerkes muss eindeutig sein damit man sich später Wahlweise in das richtige Netzwerk einbuchen kann.

Im Falle von Dual Band Router kann man in beiden Bändern oder auch nur in einem das Netz für die Gäste freigeben.

Neues Netzwerk zum bereits bestehenden hinzufügen.

Diesem WLAN vergibt man eine eindeutige ESSID.

Zudem erstellt man beim Punkt Network auch noch gleich ein neues Netzwerk zB. mit dem Namen guest.

Bevor man auf den Reiter Wireless Security wechselt, speichert man diese Änderungen mit Save zwischen.

Als Verschlüsselung empfehle ich WPA2-PSK. Dazu gehört natürlich noch ein sicheres Passwort.
Diese Arbeit schliesst man mit einem Save & Apply ab.

Über Network Interfaces gehen wir zum nächsten Schritt.
In der Übersicht sieht man das erstelle Interface Guest. In diesem Fall habe ich diesem Interface bereits 2 WLAN ESSID's hinzugefügt (2,4 und 5GHZ).
Ein Klick auf Edit öffnet das Interface.

2. Gast Interface konfigurieren

In diesem Schritt konfigurieren wir das Gäste Interface. Wir vergeben dem Interface eine IP ausserhalb des bestehenden IP Ranges des LAN (und anderen im gesamten Netzwerk). Zudem aktivieren wir für die Gäste einen eigenen DHCP Server.

Dem Gäste Interface vergeben wir eine statische IP.
Hierzu muss man bei Protocol den entsprechenden Punkt aktivieren und zudem noch auf Switch protocol drücken.

Wie bereits beschrieben, muss sich die IP des Interfaces vom bestehen IP Range des LAN unterscheiden. In diesem Fall nehme ich die 192.168.66.1/24.
Auszufüllen ist die IPv4 Adresse, die Netzmaske und das Gateway, welches zugleich der IP des Gäste Interfaces entspricht.
Zudem muss man noch öffentlich erreichbare DNS hinzufügen. Hier habe ich mit 8.8.8.8 und 8.8.4.4 die von Google genommen.
Unter dem Punkt DHCP Server geht man sicher, dass dieser aktiviert ist und den Bedürfnissen nach entsprechen eingestellt ist.
Diese Arbeit speichert man mit Save zwischen.
Über den Reiter Firewall Settings erstellen wir für das Interface noch eine eigene Firewall Zone.

Hier wird die Firewall Zone erstellt. Diese kann man ebenfalls zB. guest nennen.
Abschliessend drückt man Save & Apply.

In der Übersicht kann man nun nochmals sicherstellen, dass sich die IP Bereiche des LAN und des Gäste Netzwerkes unterscheiden.
Über Network, Firewall gelangt man zum nächsten Punkt.

3. Firewall Zonen Konfiguration

Hier möchten wir dem Gäste Netzwerk den Zugriff zum Internet ermöglichen, den Zugriff auf das LAN aber unterbinden. Dazu wenden wir den Trick des Masquerading an und erstellen 2 Firewall regeln.

Unter den Zonenübersicht halten wir uns nicht lange auf. Wir editieren gleich die entsprechende Gäste-Zone.

Hier aktivieren wir Masquerading, markieren das entsprechende Netzwerk (guest) und erlauben das Forwarding auf die LAN Zone.
Bevor man auf den Reiter Traffic Rules wechselt, speichert man diese Arbeit zwischen.

Über den Reiter Traffic Rules gelangen wir zur Regelkonfiguration.

4. Firewall Regelkonfiguration

Der vierte und letzte Punkt.

Hier erstellen wir ein Source NAT welches den Traffic des Gäste WLAN's auf die IP des Acees Points umbiegt und erstellen eine zusätzliche Regel, welche dem Gäste Netzwerk den Zugriff auf das LAN unterbindet.

Unter Source NAT, New Source NAT erstellen wir die Regel Nummer eins.
Also Namen vergeben, Quell- und Zielzone auswählen und als Quell IP die IP des Access Points auswählen.
Über Add and edit gehts zum nächsten Punkt.

Hier nochmals prüfen ob alles korrekt übernommen wurde und mit Save & Apply speichern.

Zeit für die zweite Regel.
Unter New forward rule unterbinden wir den Zugriff auf das LAN.
Punkte richtig auswählen, benamseln und mit Add and edit ab zur Konfiguration.

Hier wechseln wir unter Protocol auf Any und gehen sicher das die Netzwerke korrekt ausgewählt sind.
Unter Destination address geben wir den IP Range des LAN an. BTW: Bei einem Standard Swisscom Netzwerk wäre das die 192.168.1.0/24. Als fleissige Leser von tuxone.ch gehe ich aber davon aus, dass ihr hier etwas individuelles habt. Logo :)
Unter Action wechseln wir auf reject oder drop. Ich bevorzuge hier reject. Wir lassen die Gäste nicht warten und geben lieber gleich den Tarif durch.
Zum Schluss noch ein abschliessenden Save & Apply.

Sieht die Regel nun Plus/Minus so aus? Gut ihr habts im Grundsatz geschafft!
Nun noch ein beherzter Reboot der Kiste und die Sache rennt.

Abschmecken

Das Abschmecken ist individuell. Evtl. habt ihr vor dem Access Pint bereits eine Firewall welche zB. eine DMZ zur Verfügung stellt.

Nun könnte man auf dieser Firewall die Source IP des Access Points bezüglich Zugriff auf die DMZ einschränken oder ihr macht dies auch über die Firewall des OpenWRT AP's.

In der aktuellen Konfiguration hätten die Clients im Gäste Netzwerk zudem noch immer Zugriff auf den Access Point (welchen ihr natürlich mit Passwort geschützt habt).

Daher anbei noch 2 Konfigurationsbeispiele zu den genannten Punkten.

Des weiteren sind die Clients im Gästenetzwerk nicht isoliert auch bekannt als AP Isolation. Kein Problem. Ich habe die Konfiguration möglichst einfach über das WUI LUCI beschrieben. Dieser Punkt muss man aber über die Shell lösen. Unter /etc/config/wireless ergänzt man unter den Gäste WLAN's folgende Zeile: option 'isolate' 1

Beispiel: Reject der Gäste auf Port 80 (http) und 22 (SSH) auf Access Point

Beispiel Konfiguration. Sperre der Gäste auf einen zusätzlichen IP Range im Netzwerk, zB. einer DMZ.

Fing - Network Tool

Fing - Netzwerktool im Taschenformat

Bist du auf der Suche nach einem Netzwerktool für Android oder dem iPhone? Dann ist Fing womöglich genau das richtige für dich!

Was ist Fing?

Fing ist eine Sammlung an nützlicher Tools für die Netzwerkanalyse im kompakten Format für Android, iOS, Amazon Kindle Fire und dem Cisco Cius Tablet. Diese App wird von Overlook Soft hergestellt und ist gratis! erhältlich. Es gibt auch Kommandozeilen Versionen für Windows über Max OS X bis zu Linux.

In diesem Beitrag gehe ich auf die App für Android ein.

Was kann Fing?

Fing ist quasi das Schweizer Taschenmesser für einen raschen Netzwerkscan. Für alles gibt es spezialisierte Programme, Fing aber deckt in der App Version eine grosse Palette unkompliziert und spielerisch ab.

Folgende Funktionen werden im Android Market angegeben:

* Netzwerkerkennung
* Netzwerkdienste suchen (TCP port scan)
* Ping
* Traceroute
* DNS-Lookup
* Wake_On_LAN
* Überprüfung von TCP Verbindungen
* Erfassung von MAC Adressen und Herstellern
* Flexible Hostnamen und Icons
* Konnektivität erkennen
* Geotargeting
* Integrierter Start von third-party Software für SSH, Telnet, FTP, FTPS, SFTP, SCP, HTTP, HTTPS, SAMBA

Fing im Überblick

Fing startet mit einem Scan des lokalen Netzwerkes in welchem man sich Wireless befindet.

Mittels Netzwerkkennung werden die Host's mit IP, MAC und Hersteller angezeigt. Fing startet dazu eine Armada an Anfragen und Checks.

Falls Fing anhand der MAC oder Services ein Gerät erkennt, zeigt ein Symbol die Art des Gerätes an. Dies ist aber nicht immer von Erfolg gekrönt. Mit der App lassen sich verschiedene Netzwerke speichern und so deren Änderungen verfolgen. So schafft man sich auf einfache Art und Weise einen Überblick über ein Netzwerk.

Oben rechts wir angezeigt wie viele Geräte sich aktuell und wie viele sich maximal in diesem Netzwerk befanden. Host's welche früher gefunden wurden, momentan aber nicht aktiv sind, werden grau aufgeführt.

Ein Klick auf einen einzelnen Host ruft eine ganze Reihe von weiteren Möglichkeiten auf.

So lässt sich der Host zwecks Erkennung gezielt umbenennen, ein passendes Symbol zuweisen oder weitere Analysen starten.

Lokale Host's im Visier

Wie schon beschrieben öffnet ein Klick auf einen Host dessen Übersichtsseite. Mit einem Druck auf die Titelleiste lässt sich der Name, zusätzliche Angaben und dessen Symbol anpassen.

Netzwerk relevante Informationen werden auf einem Blick angezeigt, darunter die IP, MAC Adresse, Hostname usw.

Führt man periodische Scans durch, so wird auch angegeben wann dieser Host das erste Mal gefunden wurde.

Mittels Scan services wird ein Portscan gestartet. Abhängig von den offenen Ports lässt sich direkt aus Fing heraus eine entsprechende App starten. So öffnet sich bei Port 80 oder 443 der Webbrowser, bei Port 21 eine FTP App usw.

Als weitere Analysen stehen auch Ping und Traceroute zur Verfügung.

Traceroute arbeitet hier Unix ungewohnt mittels ICMP, also so wie es Windows mit tracert.exe macht.

Interessant ist auch die Option Wake on Lan. Ein entsprechend eingerichteter Host lässt sich so remote starten.

WAN Checks

TCP Host Scan

Via Zahnradsymbol auf der Übersichtsseite von Fing gelangt man zum Konfigurationsmenü. Nebst diversen Einstellungen verbergen sich hier die Funktionen externe Netzwerke und Host's zu scannen. Die Möglichkeiten von Fing beschränken sich hier auf rudimentäre TCP Scans. In Fing ist auch Social Media kein Thema. Ein Klick auf das Sprechblasensymbol teilt das Ergebnis via Blogger bis WhatsApp, anhängig davon was auf dem Device für Dienste zur Verfügung stehen :)

Der obligate Ping und die Traceroute sind via Menü selbstverständlich auch auf externe Netzwerke bzw. Ziele möglich. Interessant am Ping Service von Fing ist das auch gleich die Anzahl Hops und allfälliger packet loss angegeben wird, cool.

Bei Traceroute hat man die Option mit einem Klick gezielt Pings auf einen Hop zu senden um möglicherweise einem Problem näher nachzugehen. Ping und Traceroute sind in Fing ziemlich smart gelöst für eine App! -Respekt-

Ping

Traceroute

Wake on LAN kann man nach einem lokalen Scan direkt via einem Host ausführen. Im Wake on LAN Menü via Konfigurationsseite lassen sich aber auch Profile verschiedener Clients speichern. Eine Option die ich persönlich nicht mit Fing löse, aber es wäre möglich so Wake on LAN auch aus einem externen Netz zu verwenden.

Gratis, wo ist der Hacken?

Ich habe ihn nicht gefunden. Die Bewertungen im Android Market sind hervorragend. Es ist kein root nötig, die Befugnisse der App sind klar und fair. Overlook Soft kann man hier nur loben und sich für ein so gutes Stück Software nur bedanken!

DIESE APP KANN AUF FOLGENDES ZUGREIFEN:

• NETZKOMMUNIKATION
  UNEINGESCHRÄNKTER INTERNETZUGRIFF
  Ermöglicht der App, Netzwerk-Sockets einzurichten
• SPEICHER
  INHALT DES USB-SPEICHERS UND DER SD-KARTE ÄNDERN/LÖSCHEN
  Ermöglicht der App das Schreiben in den USB-Speicher und auf die SD-Karte
• SYSTEM-TOOLS
  STANDBY-MODUS DES TABLETS DEAKTIVIEREN STANDBY-MODUS DES TELEFONS DEAKTIVIEREN
  Ermöglicht der App, den Standby-Modus des Tablets zu deaktivieren. Ermöglicht der App, den Standby-Modus des Telefons zu deaktivieren.
  
  
  HARDWARE-STEUERELEMENTE

• VIBRATIONSALARM STEUERN
  Ermöglicht der App, den Vibrationsalarm zu steuern
• NETZKOMMUNIKATION
  NETZWERKSTATUS ANZEIGEN
  Ermöglicht der App, den Status aller Netzwerke einzusehen
  WLAN-STATUS ANZEIGEN
  Ermöglicht der App, die Informationen zum WLAN-Status einzusehen

Learning by doing

Fing ist praktisch selbsterklärend. Auf spielerische Art und Weise sind schnelle Netzwerkanalysen möglich ohne grossartige Kenntnisse über die TCP/IP Welt zu haben. Fing bietet sich an Netzwerke in kleinem Rahmen zu überwachen. Offene Ports lassen sich im lokalen Netzwerk sehr schnell finden. So stösst man unter Umständen auf ein Sicherheitsproblem oder sogar auf ganz neue Möglichkeiten, eine Art und Option des Zugriffs denn man nicht kannte. Es ist immer wieder überraschend welche Services auf Geräten aktiviert sind ohne das man gross Kenntnis darüber hätte!

In dem Sinne, viel Spass beim scannen! :D