Themabewertung:
  • 1 Bewertung(en) - 5 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Ade Fritzbox, hallo Router!
#1
Brick 
Ich habe vor einiger Zeit bei mir meine Fritzbox 7490 aufs Altenteil geschickt, und durch einen dedizierten Router ersetzt. Vielleicht interressiert es hier ja den einen oder anderen, wie man das machen kann sowie was man dadurch gewinnt aber auch verliert.

Die Fritzbox ist ja streng genommen nicht nur ein Router, sondern ein Multifunktionsgerät mit typischerweise folgenden Funktionen:
  • DSL-Modem
  • Internetrouter mit Firewall
  • DECT-Basisstation
  • Telefonverwaltung für VoIP und Faxgateway
  • WLAN-Access Point
  • VoIP ATA Adapter
  • Netzwerkhub

Der Vorteil an der Fritzbox ist eben, dass durch diese vielen Funktionen in einem Gerät sie sehr stromsparend ist. Auch ist die Benutzeroberfläche ja einfach zu bedienen. Der Nachteil ist eben, dass man gewisse Teile der Box nicht austauschen kann und die Software in manchen Dingen etwas beschränkt ist. Faxe mit mehr als zwei Seiten Din A4 Senden beispielsweise kann die Fritzbox eben nicht.

Als absolutes Minimum, um eine Fritzbox zu ersetzen, benötigt man folgendes:
  • DSL-Modem
  • Hardware für den Router
  • Netzwerk-Hub

Den Rest ergänzt man je nach Lust und Laune. Will man aber die komplette Funktionalität einer Fritzbox nachbauen, dann ist das je nach eingenem Anspruch an die verbauten Komponenten auch nicht immer billiger als der Kaufpreis einer Fritte. Dafür ist es dann aber deutlich flexibler, und modular, hat aber auch einen höhreren Stromverbrauch.

Beginnen wir nun mit den Geräten: als DSL-Modem kann man praktischerweise viele Fritzboxen wiederverwenden, mitunter soll das aber auch etwas holprig sein. Wer dies nicht tun will, der wird bei eBay günstig fündig, denn dort werden DSL-Modems von Zyxel zu Spottpreisen regelrecht verramscht. Das Gerät der Wahl heißt ZyXEL VMG1312-B30A und unterstützt Supervectoring, d.h. Bandbreiten bis 100 Mbit/s. Das gibt's gebraucht auf eBay im Bereich 15-40 Euro, das Gerät reicht für die Mehrheit damit locker aus.

Ich selber habe den Zyxel im Einsatz, das Gerät funktioniert problemlos.

Dann benötigt man natürlich Hardware für den Router; hier bietet sich für den Einstieg ein Raspberry Pi 4 an, dem man mittels eines USB-to-Ethernet-Adapters eine zweite Netzwerkschnittstelle beschert.

Und schließlich braucht man noch einen kleinen 4-8 Port Netzwerkhub, am Besten mit 1 Gbit/s, und fertig ist die Hardware.

Den Raspberry Pi kann man dann mit OpenWRT bestücken, und so hat man dann einen recht fähigen Router auf Opensource-Basis mit Weboberfläche.

Alternativ geht natürlich auch direkt ein Linux nach Wahl oder FreeBSD. Auf dem Raspi kann man vieles zum Laufen bringen.

Wer dann natürlich noch mehr Funktionen im Netzwerk wie WLAN oder Telefonie braucht, der muss dann dieses Setup weiter ausbauen.

Kostenpunkt bis dahin: Zyxel 20 Euro, Raspi komplett um 60 Euro, Hub 20 Euro.

Alternativ zum Raspi kann man sich auch beispielsweise den Ubiquiti Edgerouter X holen. Das Ding kostet knapp unter 50 Euro, kann aber dann auch nur OpenWRT. Dafür hat es einen Netzwerkhub gleich eingebaut. Der Edgerouter X ist soweit okay, aber gerade in Sachen VPN absolut kein Rennpferd. Wer VPNs aufmachen will, der sollte sich lieber was anderes zulegen.

Oder aber man nutzt einen etwas potenteren Rechner, mit dem man dann auch ausgewachsene Firewall-Lösungen laufen lassen kann.

Persönlich habe ich den Zotac CI329 im Einsatz, der um die 160 Euro gekostet hat. Der hat 8 GB RAM und eine 128 GB SSD verbaut. Das Teil hat zwei 1 Gbit/s-Ethernetschnittstellen, was für den Routerbetrieb wichtig ist.

Das Ding ist leistungsfähig genug, um darauf auch Sachen wie OPNSense problemlos laufen zu lassen.

Bei mir allerdings läuft das ein wenig anders: das Host-OS ist Proxmox, eine auf Linux basierende Virtualisierungslösung. Die Firewall läuft auf dem System in einer VM, die Telefoniesoftware FreePBX dann in einer anderen auf demselben Host. Klappt wunderbar.

Ich weiß auch, dass manche beim Thema Virtualisierung der Firewall Bauchschmerzen haben, mir ist das sicher genug. Die c't empfahl das selbst mal vor Jahren im Zusammenhang mit IPCop.

Was man dann noch so an weiteren Bauteilen nehmen könnte:

* WLAN-Accesspoint: 60-100 Euro je nach Hersteller, unter ac sollte man nicht gehen, vielleicht schon direkt in WIFI6 investieren. Alternativ USB-Stick im Router, aber das ist von der Leistung her meistens wegen der kleinen Antennen nur schlecht.
* DECT-Basisstation: Gigaset N510 IP Pro, 60 Euro.
* ATA-Adapter: Cisco SPA112, 30-40 Euro.
[-] The following 3 users say Thank You to Bartholomew Gallacher for this post:
  • Bogus Curry, Dorena Verne, Pius Noel
Zitieren
#2
Aktuell gibt's auch von Asus einiges an Routern, auf die verschiedene WRT-Geschmacksrichtungen portiert sind. Das wäre vielleicht eine Alternative für diejenigen, die keinen kompletten Eigenbau per SSH durchs Schlüsselloch ausschließlich über die Kommandozeile – also nicht mal mit einer ncurses-Oberfläche, sondern ganz ohne Oberfläche nur mit Konsolenbefehlen – administrieren wollen.
Zitieren
#3
Hallo Barth ;D

Erstmal danke für dein Posting über den Eigenbau von einem Router ;D Ich hab vor kurzen ein Video gesehen, wo auch sowas gezeigt wurde, nur der Kerl, der das zeigte, der war nach meiner Meinung irgendwie auf Speed oder schlimmer oder. Jedenfalls ist die Idee gar nicht so übel, da ich am letzten WE mir meinen vor sehr sehr langer Zeit gekauften Raspberrry Pi mal vorgenommen hab ;D

Mal schauen ob ich es mal versuche so ein Router mir zu basteln ;D
Tschöö

Bogus
Zitieren
#4
Also den Raspi kann ich für den Einstieg sehr empfehlen, damit fing ich auch an.

Wie gesagt, OpenWRT läuft sehr schön auf dem Raspi, der hat damit keine Probleme. Allerdings ist OpenWRT auf dem Raspi schon fast Verschwendung, weil die Hardware deutlich mehr leisten kann.

Was auch noch auf dem Raspi geht und ich vergessen hatte ist Ipfire, eine auf Linux basierte Firewall-Distribution und vollkommen Opensource: https://www.ipfire.org

Man darf sich nur nicht an der etwas leicht veralteten Weboberfläche stören. Und WLAN sollte man besser mit einem Accesspoint realisieren, als mit dem im Raspi verbauten Chip, denn das ist ein Krampf kann ich aus eigener Erfahrung sagen.

Ansonsten ganz nett, nur manche Dinge sind ein wenig umständlich dokumentiert, wenn man dann nicht in den Foren sucht und es findet, ist man aufgeschmissen.

Alternativ geht natürlich auch Raspbian und alles zu Fuß bauen. Da lernt man dann nochmal deutlich mehr, Firewall-Skripte für Linux gibt es ja mehr als genug. Persönlich setze ich aktuell Arno's IPTables Firewall ein, das ist schon sehr umfangreich und auch gut dokumentiert, aber der Einstieg mit ein paar Handgriffen erledigt. https://github.com/arno-iptables-firewall/aif

Wer den totalen Overkill haben will, der kann auch gleich zu Shorewall greifen: https://shorewall.org/
[-] The following 2 users say Thank You to Bartholomew Gallacher for this post:
  • Bogus Curry, Dorena Verne
Zitieren
#5
Weil ich gerade so inspiriert bin, hier noch eine kleine Anleitung für den Raspi 1-3 im Betrieb mit FreeBSD. Ich gehe davon aus, dass dabei am Raspi ein Ethernet-to-USB-Adapter hängt, er also zwei Ethernet-Schnittstellen hat.

Wichtig dabei: im Raspi 1-3 ist die Ethernetschnittstelle nicht wirklich performant, da es sich dabei nur um einen auf die Platine gelöteten Ethernet-to-USB-Adapter handelt, der sich mit dem Hub denselben USB-Bus teilt. Erst der Raspi 4 hat eine echte Ethernetschnittstelle, die man voll ausreizen kann. Das bedeutet, dass mit dem Raspi 1-3 als Homerouter ab einer gewissen Geschwindigkeit einfach Schluss ist, weil der USB-Bus nicht mehr hergibt. Wirklich bemekbar dürfte sich das aber erst bei > 50 Mbit/s Internetgeschwindigkeit machen.

[Bild: bnBBfMe.jpg]

Warum FreeBSD? Zwei Gründe: es ist mal was anderes als Linux, und vor allem benutzt FreeBSD kein Systemd. Systemd hat auf einer Firewall finde ich nichts verloren, weil es mitunter ziemlich viel unerwünschte Nebeneffekte haben kann, wie z.B. schon mal den Port 53 für BIND blockieren. Ansonsten ist das Teil einfach auch deutlich zu komplex für seinen Daseinszweck und damit ein Sicherheitsrisiko.

Außerdem ist FreeBSD sehr einfach zu konfigurieren, weiterhin in sich auch sehr logisch aufgebaut und es ist kein Hexenwerk. Vor allem aber ist es wirklich hervorragend dokumentiert, hier gibt es die deutsche Version zum Handbuch online: https://docs.freebsd.org/de/books/handbook/

Zunächst einmal wo kriegt man es her? Hier: https://www.freebsd.org/where/ - einfach "SD Card Images" suchen. Wichtig dabei: der Raspi 4 wird erst ab FreeBSD Version 13.0 richtig unterstützt, aktuell ist noch Version 12.2. Also wer einen Raspi 4 im Einsatz hat, für den ist das momentan noch nichts.

Eine Anleitung zur Installation in vier einfachen Schritten gibt es hier: https://freebsdfoundation.org/freebsd-pr...pberry-pi/

Danach hat man seinen Raspberry Pi in ein FreeBSD-System verwandelt, und kann mit der Einrichtung loslegen. Ab hier gehe ich dann davon aus, dass ein Ethernet-Adapter mit dem DSL-Modem verbunden ist. Der andere - interne - kann dann später mit dem Hub verbunden werden.

Wichtig: im Unterschied zu Linux benennt FreeBSD seine Ethernetschnittstellen nach dem Namen des benutzten Treibers! ifconfig -l zeigt alle bekannten Schnittstellen an.

Weiterhin sollte man sich unbedingt notieren, welches Interface nun am Modem hängt - das ist extern, und welches das interne Netz bedient.

Unser Raspi muss mit dem Modem nun PPPoE machen - die Konfiguration dazu ist hier im Handbuch dokumentiert: https://docs.freebsd.org/de/books/handbo...lip/#pppoe

Alles so, wie im Handbuch beschrieben, übernehmen - bis auf den authname und authkey. Dieser wird vom Provider individuell gesetzt.

Sollte man Kunde der Telekom sein, dann ist der Authname wie folgt aufgebaut:
Anschlusskennung T-Onlinenummer 0001@t-online.de, also z.B.
00012345678901234567890#0001@t-online.de

Hat man das dann alles richtig umgesetzt: Glückwunsch, euer Raspi funktioniert ab jetzt als Internetgateway. Das NAT übernimmt dabei der PPP-Daemon. Man könnte sich jetzt also einfach nur hinsetzen und die Kiste genießen, oder fügt noch ein paar Dienste hinzu. So benutzen sollte man das Gerät aber nicht dauerhaft, da u.a. ein Sendmail bei FreeBSD standardmäßig läuft. Man sollte also alle nicht benötigten Dienste durchgehen und abschalten, oder per Paketfilter sperren.

Als erstes sollte man noch einen Paketfilter konfigurieren, der mit ein paar Firewall-Regeln das Netzwerk etwas absichert. Meine Firewall der Wahl unter FreeBSD ist hierbei Pf; es gibt mit IPFW und IPFilter noch zwei weitere Möglichkeiten zur Auswahl.

Eine simples Regelwerk für ein Internet-Gateway mit NAT, also Router, ist im Kapitel 30.3.2.1 im Handbuch dokumentiert: https://docs.freebsd.org/de/books/handbo...rewalls-pf

Wichtig: will man das so nutzen, dann sollte man in der /etc/rc.conf folgendes setzen:
ppp_nat="NO"

Sonst macht nämlich PPP weiterhin das, was ab nun die Firewall erledigen sollte, die Network Address Translation (NAT).

Zum Glück für einen einfachen Router fehlt zuletzt noch ein DHCP-Server, d.h. ein Dienst, der Rechnern im Netzwerk automatisch IP-Adressen zuweist.

Dessen Konfiguration ist im Handbuch in Kapitel 29.6.2 beschrieben: https://docs.freebsd.org/de/books/handbo...twork-dhcp

Natürlich kann man je nach Belieben noch weitere Dienste auf dem Gerät installieren, wie z.B. VPN-Server, DNS-Resolver wie Unbound und vieles mehr. FreeBSD bietet hier einen Haufen an Möglichkeiten. Und keine Sorge, das umzusetzen klingt schwieriger als es ist.
[-] The following 3 users say Thank You to Bartholomew Gallacher for this post:
  • Bogus Curry, Dorena Verne, Pius Noel
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste