Version zum Ausdrucken (pdf):
http://ceelight.oggersheim.net/ipcop/wl ... r_blau.pdfVersion zum Anschauen (html):
http://ceelight.oggersheim.net/ipcop/wl ... _blau.html(Server derzeit nicht erreichbar! Problem wird kurzfristig behoben.) Erledigt, Seiten wieder erreichbar.
Immer wieder kommen Fragen zu WLAN und IPCop, insbesondere im Zusammenhang mit WLAN-Routern und der blauen Schnittstelle. Ich möchte hier nicht auf die Sinnhaftigkeit eines Routers innerhalb des IPCop-Netzwerks eingehen. Hierzu hat jeder seine Meinung und manchmal stehen einfach auch ökonomische Gesichtspunkte im Vordergrund. Man hat das Ding nunmal zu Hause und will es jetzt auch nutzen.
Ich will hier
einen (möglichen) Weg aufzeigen, um das ersehnte WLAN mit IPCop zum laufen zu bringen. Diese Tipps basieren auf der allgemeinen Netzwerktheorie und den hier im Forum zu findenden Beiträgen. Ich selbst habe keinen WLAN-Router im Haus. Ein einfacher Access Point reicht mir. Leider gibt es immer weniger dieser Geräte im Elektro-Discounter-Sortiment - während die Anzahl der Router ständig zunimmt. Ich schweife wieder ab
Folgendes sollte gegeben sein:- Installierter IPCop Version 1.4.x
- Schnittstelle rot (Internet) ist konfiguriert und funktioniert
- Schnittstelle grün (privates, kabelgebundenes LAN) ist konfiguriert und funktioniert
- Schnittstelle orange optional
- Schnittstelle blau für WLAN ist geplant - hier soll der WLAN-Router ran
Grundsätzliches:Die blaue Schnittstelle wurde von den IPCop-Entwicklern speziell für den Einsatz eines WLANs geschaffen. Es wird hierbei davon ausgegangen, dass die Rechner im grünen Netz vor allen potentiellen Gefahren geschützt werden sollen. Im grünen Netz befinden sich alle sicherungswürdigen Daten. Hierauf soll niemand, ausser dem Netzinhaber und dessen User Zugriff erhalten. Da eine auf Funk basierende Technik vom Prinzip her unsicherer ist als die kabelgebundene Technik, ist hier von einem potentiellen Sicherheitsrisiko auszugehen, so dass das funkbasierte Netz (WLAN) vom kabelgebundenen Netz getrennt werden muss. Dies wird bei IPCop durch die Existenz des blauen Netzes, welches auch physikalisch von allen anderen Netzen getrennt ist, gewährleistet.
Vorbereitungen - Blaue Schnittstelle einrichten:Die
Dokumentation und die durch die Forensuche auffindbaren Beiträge bescheiben IMHO erschöpfend die Installation einer blauen Schnittstelle im IPCop.
Deshalb soll auch nur folgendes als Gedankenstütze bei der Installation dienen:
- blau hat physikalisch eine eigene Netzwerkkarte (NIC)
- blau benötigt, wie alle Netze (rot, grün, orange) einen eigenen Netzwerkbereich ("IP-Adressbereich inkl. Netzwerkmaske")
- blau muss, wie alle Netze (rot, grün, orange), physikalisch von den anderen Netzen getrennt sein. Nicht "blau und grün am gleichen Switch" o.ä.
- Clients an blau haben nach der korrekten Inbetriebnahme zunächst keinen Zugriff auf das rote Netz, sprich das Internet. Dies muss explizit erlaubt werden. Also nicht wundern
Ich gehe im folgenden beispielhaft von folgender Konfiguration des IPCop aus. Ich beschreibe auch gewollt ein komplettes IPCop Netz (rot, grün, orange, blau) auch wenn dies keinen Einfluss auf die eigentliche Konfiguration des blauen Netzbereichs hat.
rot:An rot hängt ein ADSL-Modem. Die Einwahl erledigt der IPCop über PPPoE und erhält so dynamisch eine IP (inkl. Gateway und DNS) vom Provider.
grün:IP: 192.168.0.1
Netzwerkmaske: 255.255.255.0
orange:IP: 192.168.1.1
Netzwerkmaske: 255.255.255.0
blau:IP: 192.168.2.1
Netzwerkmaske: 255.255.255.0
Jetzt geht's los :Mantra: LANnichtWAN LANnichtWAN LANnichtWAN
Der Router sollte vorab an der
LAN-Schnittstelle (siehe unten) folgendermaßen konfiguriert werden:
Statische IP-Vergabe mit IP aus blauem IP-Bereich (z.B. 192.168.2.100 / Gateway: 192.168.2.1 / DNS: 192.168.2.1). Adressvergabe mittels DHCP vom IPCop ist auch möglich. Es ist übringens laut Informationen hier im Forum auch möglich, der LAN-Schnittstelle des Routers eine gänzlich vom blauen IP-Bereich (z.B. 192.168.100.1 o.ä.) verschiedene IP zu vergeben. Dies würde die Sicherheit zusätzlich erhöhen. Der Einfachheit halber sei hierauf aber in dieser Anleitung verzichtet.
Wichtig - nicht vergessen: Evtl. vorhandener DHCP-Server im Router sollte ausgeschaltet werden, falls IPCop DHCP an der blauen Schnittstelle übernimmt oder das Netzwerk generell mittels statischer IP-Adressvergabe konfiguriert ist. Zwei DHCP-Server in einem Netz zu betreiben wird zu Problemen führen.
Generell sollte die höchstmögliche Sicherheitsstufe für das WLAN gewählt werden (WPA2). WEP und WPA (die ältere Version) sind heutzutage nicht mehr zeitgemäß und nachweislich in kurzer Zeit mit einfachen (herunterladbaren) Programmen zu knacken (WEP).
[1] [2][3]. Weitere Informationen zur Absicherung des WLAN finden sich
hier.
Diese WLAN-Router haben normalerweise eine WAN-Schnittstelle und eine/mehrere LAN-Schnittstellen (siehe Beschriftung am Router und/oder Betriebsanleitung). Da man die Routerfunktionalität beim Betrieb mit IPCop grundsätzlich nicht benötigt, wird das Gerät mit einem normalen Netzwerkabel (kein "Cross-over") an einer verfügbaren
LAN-Buchse mit der blauen Schnittstelle des IPCop verbunden.
Und jetzt kommts: Das wars eigentlich schon.
Clients, die sich jetzt am WLAN des WLAN-Routers anmelden und entweder über DHCP vom IPCop mit einer IP versorgt werden oder eine statische IP-Konfiguration haben, sollten jetzt in der Lage sein ("Zugriff auf blau" vorausgesetzt) aufs Internet zugreifen zu können.
Diese Anleitung wurde geschrieben, um eine WLAN mit WLAN-Router zunächst zum Laufen zu bekommen. Natürlich gibt es hier und da Verbesserungen und andere Alternativen. Evtl. werde ich diese hier im Laufe der Zeit einfügen.
Kritik und Verbesserungsvorschläge erwünscht! Supportanfragen aber bitte ausschliesslich mittels neuem Thread in
1.4.x - IPCop Konfiguration/Administration!
[1] -
http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/[2] -
http://www.heise.de/newsticker/meldung/87874[3] -
http://www.heise.de/newsticker/Angriff- ... ung/144392----------------------------------------------------------------------------------
v01 - 180207
v02 - 190307 - Link eingefügt zu "WLAN absichern"-HowTo von Lamorak
v03 - 040407 - Links zu WEP-Unsicherheit eingefügt / WEP-Text leicht verändert
v04 - 090507 - Anpassung Versionsnummer an Website
v05 - 311007 - Hinweis auf DHCP eingefügt (Danke an ChristianKnorr für den Hinweis!)
v06 - 030909 - Verschlüsselungsempfehlung angepasst -> WPA2
Home
Anmelden
Registrieren
FAQ
Suche
