OpenWRT: VLAN mit einer FRITZ!Box 7530

Titelbild: VLANs mit OpenWRT in einer FRITZ!Box 7530

Mein in die Tage gekommener Router bot nicht mehr genug Speicher im Flash, um weitere Pakete zu installieren. Daher sollte es eine FRITZ!Box 7530 werden, bei der ich auch das VDSL-Modem nutzen konnte. Auf der FRITZ!Box war jedoch einiges anders einzurichten, als bei meinem bisherigen Router. Die Forenbeiträge, die ich gefunden hatte, bezogen sich auf ältere OpenWRT-Versionen oder haben nicht funktioniert. Vor allem die VLAN-Konfiguration war für mich als Hobby-Admin eine Herausfordung. Hast du einen einfacheren Lösungsweg? Nutze dazu gern die Kommentare.

Voraussetzungen

Zum Zeitpunkt der Erstellung dieses Artikels ist die OpenWRT-Firmwareversion 24.10.2 aktuell. Diese ist vollständig kompatibel mit dem integrierten Modem der FRITZ!Box 7530 – eine separate Konfiguratio ist nicht notwendig. Der Artikel geht daher davon aus, dass OpenWRT erfolgreich installiert wurde und die Netzwerkinfrastruktur unverändert ist. Es gibt daher die Bridge br-lan, die die Ports 1-4 verbindet. Weitere Informationen findest du im OpenWRT-Wiki.

Hinweise

  • Da die aktuelle Firmware auch Distributed Switch Architecture (DSA) unterstützt, sollte man sich überlegen, ob man VLAN wirklich benötigt oder eine Separierung über den Switch des Routers per DSA bereits ausreicht. Letzteres ist wesentlich einfacher einzurichten. Betreibt man noch einen managed Switch hinter dem Router, möchte man i.d.R. VLANs.
  • Der Artikel folgt der Empfehlung, die VLAN-ID 1 nicht zu verwenden, da diese oft „hartkodiert“ als Standard-Einstellung in Netzwergeräten implementiert ist. Das kann zu unerwarteten Konfigurationsfehlern führen und wird als Angriffsziel benutzt.
  • Ist der Router nach einer Fehlkonfiguration nicht erreichbar, warte die 90s ab, nach denen der Router möglichweise anbietet, die Einstellungen zurück zu nehmen. Das klappt jedoch nicht immer, dann hilft meist, die Standardkonfiguration für das Netzwerk wieder herzustellen.
  • Der Einfachheit halber wird hier die WAN-Zone eingerichtet, an der ein Modem über lan4 angeschlossen werden kann.

Einrichtung

Ich möchte folgende Netzwerkstruktur abbilden:

ZoneIP-BereichPortsVLAN-ID
LAN192.168.1.1/24lan110
IoT192.168.10.1/24lan2, lan3100
WANDynamischlan420
  1. getrennte Zonen für LAN, WAN und IoT
  2. Belegung der Ports mit den Zonen
  3. verschiedene VLAN-IDs für die Zonen
  4. DHCP-Server für die Zonen LAN und IoT
  5. WLAN für die Zonen LAN und IoT

VLAN-Devices und Bridges anlegen

Die Interfaces IoT, LAN sowie WAN werden jeweils über eine Bridge (br-iot, br-lan sowie br-wan) mit den gewünschten Geräten verbunden.

OpenWRT: Konfiguration der Geräte
Konfiguration der VLAN-Geräte

Dazu lege ich für jeden zu verbindenden Port ein Gerät vom Typ VLAN (802.1q) an. Damit der Router selbst mit den VLANs kommunizieren kann, um das Routing, DNS oder Firewalling zu übernehmen, gibt es das Gerät eth0. Wir benötigen für jede VLAN-ID eins.

VLAN-Gerät in LuCI

Für die LAN-Zone sieht das exemplarisch so aus, wie der folgende Codeabschnitt zeigt.

# VLAN-Geräte
config device
	option name 'lan1.10'
	option type '8021q'
	option ifname 'lan1'
	option vid '10'

config device
	option name 'eth0.10'
	option type '8021q'
	option ifname 'eth0'
	option vid '10'

# Bridge zur Verbindung der beiden VLAN-Geräte
config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan1'
	list ports 'eth0.10'
	option bridge_empty '1'
	option ipv6 '0'

# Interface, welches die Bridge nutzt
config interface 'lan'
	option device 'br-lan'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'

Alle weitere Geräte werden analog angelegt. Damit sind die Punkte 1 – 3 erfüllt.

DHCP-Server und WLAN

Für die Interfaces LAN und auch IoT können nun die DHCP-Server angelegt werden. Über LuCI ist das einfach zu bewerkstelligen.

Auch die WLAN-Konfiguration geht mit LuCI einfach von der Hand. Den vorhandenen AccessPoint ändert man nach seinen Wünschen ab. Unter Netzwerk wird nun noch das Interface ausgewählt. Da ich eines für LAN und eins für IoT konfigurieren möchte, wähle ich bei diesem das Interface lan.
Für das IoT-WLAN gehe ich in LuCI dann am Radio auf Add, siehe Markierung (1) in untenstehendem Bild, zum Hinzufügen eines weiteren Access Points und wähle dort als Netzwerk dann IoT. Die restlichen Einstellungen nehme ich nach Belieben vor.

Hinzufügen des IoT-WLANs

Tipps & Tricks

Rooten unter Linux

Da ich Linux nutze, sind die Anleitungen, die meist nur für Windows gelten, nur Anhaltspunkte, wie beispielsweise zum Übertragen von Imagedateien mittels TFTP-Server. Unter Ubuntu konnte ich das initramfs-Image FRITZ7530.bin mit dnsmask als TFTP-Server auf die Box bringen. Dazu habe ich das Image im Verzeichnis /src/tftp abgelegt und dnsmasq mit dem Befehl
sudo dnsmasq --port=0 --enable-tftp --tftp-root=/srv/tftp --tftp-no-fail --log-queries --log-dhcp
gestartet. Das war erfolgreicher als mit dem Tool tftpd-hpa, welches nicht auf die Anfragen der FRITZ!Box reagiert hat.

OpenWRT-Recovery-Modus

Bei meinen Versuchen wollte mich die Box manchmal nicht mehr rein lassen. Da die FRITZ!Box keinen Reset-Taster hat, erfolgt das Booten in den Recovery-Modus etwas anders:

  • Box vom Strom trennen
  • das Netzteil wieder einstecken
  • die folgende Sequenz abwarten:
    • die Power-LED geht kurz an
    • alle LEDs blitzen gleichzeitig auf
    • die Power-LED blinkt
  • irgendwann fängt die Power-LED an, durchgehend zu leuchten – das dauert rund 30sec
  • dann fängt die Power-LED wieder zu blinken an – jetzt ist die WPS-Taste erneut kurz zu drücken
  • kurz danach blinkt die Info-LED schnell rot – der Recovery-Modus ist erreicht und man kommt per ssh auf die Box und kann Reparaturen oder einen Werksreset durchführen

Fazit

Für einfache Netztrennung reicht oft DSA aus. Bei Einsatz eines VLAN-fähigen Switches ist die gezeigte Methode ideal zur strukturierten Netzwerksegmentierung mit OpenWRT auf der FRITZ!Box 7530.

Hilf durch deine Bewertung mit, diesen Blog zu verbessern!
Abonnieren
Benachrichtige mich bei
0 Kommentare
Älteste
Neueste Beliebteste
Inline Feedbacks
Alle Kommentare