fleXblog

Ich habe jetzt auch den Siemens SE515 bekommen und ins WDS gehängt. Funktioniert gut, man sollte bloß beachten, dass für die automatische Suche nach anderen Routern die SSID auf diesen sichtbar sein sollte, sonst werden sie nicht gefunden.

Ich habe jetzt einen weiteren Siemens SE505 in das WDS gehängt. Dabei war zu beachten, dass die MAC-Adresse, mit der der SE505 bei den anderen Bridges im WDS ankommt nicht die LAN-MAC-Adresse ist, die im Status angezeigt wird oder die man im ARP-Cache auf den anderen Rechnern im LAN sieht (für die Einrichtung des WDS hängt der SE505 ja an irgend einem PC).
Anscheinend endet die LAN-MAC-Adresse eines SE505 immer mit einer geraden Zahl und die WLAN-MAC-Adresse immer mit der des LAN plus eins.

Ich habe den Plan, auf dem WL-500g IPSec benutzen zu wollen vor langer Zeit aufgegeben und experimentiere seit einigen Monaten mit OpenVPN . OpenVPN an sich funtioniert gut, ich habe es bisher aber noch nicht geschafft, mein “virtuelles” Heim-Netz auf dem WL-500g zum laufen zu bringen.

Mit “virtuelles” Heim-Netz meine ich folgendes. Wir vergeben in der Firma bei Bedarf an die Mitarbeiter kleine /29-Netze bestehend aus acht IP-Adressen. Nehmen wir an, mein Netz wäre 172.23.158.0/29. Ich betreibe hier aber mein persönliches LAN im Adressbereich 192.168.1.0/24, dieses möchte ich auch nicht aufgeben. Aus diesem Grund habe ich meine Debian-Firewall mit FWBuilder so konfiguriert, dass auf der Firewall die Adressen 172.23.158.0 transparent auf bestimmte Adressen aus dem Netz 192.168.1.0 übersetzt werden. Das funktioniert sehr gut, aus Sicht der Firma ist das 192er-Netz nicht vorhanden und es gibt hier nur das 172er-Netz.

Aber wie gesagt, auf dem Asus habe ich das noch nicht zum laufen gebracht, ich habe allerdings hierfür auch noch nicht sehr viel Zeit investiert.

Ich betreibe schon seit längerem mit meinem Asus WL-500g und einem Siemens SE505 ein WDS. Das ganze funktioniert hervorragend und ich kann damit ohne irgendwelche Probleme im Erdgeschoß mit einem Notebook surfen. Der WL-500g steht im Spitzboden und hängt am DSL-Modem. Der SE505 steht ein Stockwerk tiefer. An ihm hängt außerdem noch ein PC, der diesen als Access-Point nutzt. Der SE505 steht direkt am offenen Treppenhaus und kommt so fast ohne Verluste ins darunterliegende Erdgeschoß.

Vor einigen Tagen habe ich das WDS testweise um ein D-Link DWL-2000AP (ohne plus) erweitert und zu meiner Überaschung funktionierte das auch, nur dass es hier nicht WDS heißt, sondern “Multi-Point Bridge”. Einzige Einschränkung ist, dass man beim D-Link anscheinend keine Liste mit MAC-Adressen der anderen WDS-Teilnehmer angeben kann und dass das WDS somit nicht mehr ganz so sicher ist.

In einigen Tagen werde ich das WDS um einen weiteren SE505 sowie um einen SE515 erweitern, beide werden im Haus gegenüberstehen. Nachdem der Test mit dem D-Link erfolgreich war, gehe ich hier aber nicht von Problemen aus. Mal sehen…

Nach langer Zeit habe ich mal wieder Zeit gefunden, mich um den DSL-Router zu kümmern.

Ich habe dafür OpenSWAN aktualisiert und so erweitert, dass es möglich sein müßte, direkt OpenSwan zu installieren. Das wollte ich ausprobieren und das *.trx installieren. Zu meinem Erstaunen und Erschrecken ließ sich aber garnichts mehr installieren. Es sah so aus als würde der Router funktionieren, aber es ließ sich beim besten Willen nichts mehr installieren, auch keine Original-Firmware. Mit tcpdump konnte man zwar Pakete vom Router sehen aber ansonsten war er “unsichtbar”.

Nach zwei Stunden und unzähligen Versuchen habe ich als letzten Ausweg den Router direkt, also ohne den Switch, mit dem PC verbunden. Und siehe da, nun funktionierte die Installation und der Zugriff. Kann nun der Router nicht mit meinem Switch? Muß ich den Switch nach einem halben Jahr mal resetten? Es war wieder spät, deshalb später mehr.

Bisher bin ich noch nicht dazu gekommen mich weiter um OpenVPN zu kümmern. Deshalb jetzt nur ein Tip um die Kabelstöpselei zu minimieren.

Ich habe alle Rechner zusammen mit dem DSL-Modem auf einem Switch hängen. Einen LAN-Port des Asus habe ich ebenfalls darangehängt. Den WAN-Port des Asus habe ich dann einfach mit einem kurzen Patchkabel mit einem weiteren LAN-Port “kurzgeschlossen”. So muß ich für meine Versuche einfach auf meiner alten Debian-GNU/Linux-Firewall ppp und dhcp runterfahren und auf dem Asus starten.

Damit der der Ipsec-Zugang in die Firma funktioniert sollte DynDNS benutzt werden. Außerdem ist es laut OpenVPN-Doku nötig die richtige Systemzeit zu haben, was außerdem sowieso ganz nützlich ist

Als DynDNS-Client gibt es für OpenWRT auf phil das P aket inadyn, der Eintrag in /etc/ipkg conf lautet src phil http://www.syslinx.org/wrt54g/openwrt. Wie bei vielen OpenWRT-Paketen ist auch hier kein Startscript dabei. Mein selbstgeschriebenes unter /etc/init.d/S52inadyn sieht so aus:


#!/bin/sh
inadyn -u “name” -p “password” -a “domain” &


Darin muß man natürlich eigene Werte eintragen.

Um die Systemzeit zu setzen benutze ich das Paket ntpclient, welches man von OpenWRT nachinstallieren kann. Auch hier habe ich wieder mein eigenes Startscript /etc/init.d/S53ntpclient schreiben müssen:


#!/bin/shs=pool.ntp.org

ntpclient -s -h $s
ntpclient -l -h $s &
Als nächstes (und letztes für diesen Tag) habe ich OpenVPN von ab0oo, ipkg.conf-Eintrag src ab0oo http://www.wildcatwireless.net/wrt54g installiert. Der Erfolg war, dass danach der DSL-Verbindungsaufbau nicht mehr funktionierte

Die Lösung dafür gibt es dann hoffentlich im nächsten Blog-Eintrag.

Ich habe jetzt eine Internetverbindung und außerdem dropbear mit DSA-Key authentifizierung laufen!

Aber der Reihe nach. Um die pppoe-Verbindung zu konfigurieren habe ich nicht mehr das nvram geändert, sondern das nvram.overide-Script angepaßt. Hinter dem Abschnitt # hacks for 1.x hardware habe ich folgendes eingefügt:


# hacks for Asus Hardware
[ "$(nvram get boardnum)" = "asusX" ] &&
[ "$(nvram get boardtype)" = "bcm94710dev" ] && {
debug “### Asus hardware hack ###”ppp_username="$(nvram_get wan_pppoe_username)"
ppp_passwd=”$(nvram_get wan_pppoe_passwd)”
ppp_redialperiod=”$(nvram_get wan_pppoe_redialperiod)”
ppp_idletime=”$(nvram_get wan_pppoe_idletime)”
wan_mtu=”$(nvram_get wan_pppoe_mtu)”
}
Anschließend kann man ein ipkg update ausführen. Hierbei kommt es jedoch zu Fehlern da Dateien aus dem Rom-Bereich überschrieben werden sollen. Es müssen also eine Reihe von Dateien unter /usr/lib/ipkg gelöscht werden.

Nachdem die Paketliste auf dem neusten Stand ist, kann mit ipkg install dropbear ssh installiert werden. Vorher sollten die Links /etc/passwd und /etc/group entfernt und durch Dateien ersetzt werden. Wenn eine Schlüsselbasierte Authentifizierung stattfinden soll, hat man jetzt aber ein Problem: das Home-Verzeichnis von root ist /tmp und liegt im Ram, ist also nach jedem booten leer. Eine Änderung am dropbear-Startscript hilft hier. Das neu Script /etc/rc.d/S51dropbear sieht so aus:


#!/bin/shdotssh="$(awk -F: '{print $6}' /etc/passwd)/.ssh"
auth_keys=/etc/dropbear/authorized_keys

[ -s $auth_keys -a ! -s "$dotssh/authorized_keys" ] && {
[ ! -d "$dotssh" ] && {
mkdir “$dotssh”
chmod 700 “$dotssh”
}
cp $auth_keys “$dotssh”
chmod 600 “$dotssh/authorized_keys”
}

/usr/bin/dropbear
Wenn also die Datei /etc/dropbear/authorized_keys existiert, wird hiermit der entsprechende Zugang eingerichtet. Wenn alles läuft, kann man jetzt die Passwort-Authetifizierung und den Telnet-Daemon abschalten.

Falls man sie mal braucht, siehe Freifunk . Technisches . NvramVariablenV2

Hier gibt es eine fertig compilierte Open-WRT-Firmware, der Größe nach zu urteilen mit allen drum und dran.

Ich habe mit dem recover.sh-Script welches ich gestern gefunden habe, die Original-Firmware wieder hergestellt und den DSL-Zugang neu konfiguriert. Danach wieder OpenWRT geflasht, firstboot ausgeführt und — wieder nichts

Das Kommando ifup wan zur Konfiguration des DSL-Interfaces gibt eine Fehlermeldung aus, dass pppoecd nicht gefunden wurde. Das gibt es tatsächlich nicht! Im buildroot-Verzeichnis der OpenWRT-Quellen gibt es aber die Datei README.pppoe. Also pppoecd zu den Targets hinzugefügt und make ausgeführt. Nach erneuten flashen der Firmware geht es aber immer noch nicht.

Also mal ifup mit sh -xv ausgeführt und gefunden, dass es die ganzen nvram-Variablen die es erwartet beim WL-500g garnicht gibt. Hinzufügen der Variablen mit den hoffentlich richtigen Werten läßt ifup wan durchlaufen. Der pppoecd läuft, und fast wie zu erwarten — es wird immer noch keine Verbindung hergestellt. Welche Harware-Version hat der WL-500g? Doch nicht 1.x sondern schon eine 2er? Von vlan2 auf vlan1 umkonfiguriert, geht aber auch nicht.

O.k. es ist wieder spät geworden. Den Router ausgeschaltet und ppp auf der guten alten trillian wieder hochgefahren. Und siehe da, hier wird auch keine DSL-Verbindung aufgebaut! Anscheinend ist ausgerechnet während meiner Konfigurationsversuche der Kamp-Radius-Server ausgefallen. Vieleicht lag es aber auch meinen Versuchen mit dem WL-500g. Schluß für heute, morgen mehr!

Beim WL-500g ist boot_wait per default auf on gesetzt. Trozdem funktioniert der Firmware-Upload per TFTP nicht so wie beschrieben, er ist mir nur einmal fast geglückt. Per Webbrowser geht es aber.

Also habe ich wie beschrieben OpenWRT per CVS geholt und übersetzt. Das daraus entstande trx-File läßt sich aber nicht per Browser-Firmware-Upgrade installieren, es ist seiner Meinung nach keine gültige Firmware. Mit dem Asus-Restoration-Tool geht es aber.

Das neue System bootet ohne Probleme. Ich hatte aber vorher noch ein Factory-Reset gemacht, OpenWRT hat deshalb keine DSL-Verbindung konfiguriert. Die Firmware enthält auch keine Programme zum Datei-Transfer und keine USB-Treiber. Wie man unter OpenWRT eine neue DSL-Verbindung einrichtet habe ich auch nicht gefunden. Also muß die Original-Firmware wieder drauf. Da es keine Web-Oberfläche mehr gibt und TFTP nicht funktioniert habe ich es mit dem Restoration-Tool versucht, aber das ging auch nicht mehr.

Zum Glück habe ich diesen Beitrag und dieses Script gefunden. Damit konnte ich die alte Firmware ohne Probleme wieder installieren.

Da das Script unter Umständen die einzige Möglichkeit ist den Router wieder zum Leben zu erwecken, füge ich es hier an.