Router freischalten per Linux-Firmware DD-WRT

Die letzten Monate waren voll von Schlagzeilen über Sicherheitslücken in DSL-Routern. Betroffen waren praktisch alle Hersteller. Und genauso vielfältig wie das Spektrum der Markennamen waren auch die Arten der Lücken: Mal handelte es sich um Bugs der verwendeten Linux-Basis, mal um Fehler in den Administrations- Frontends und mal um böswillig integrierte Hintertüren.

Dazu kommt leider, dass viele Router-Hersteller nach dem Prinzip "verkaufen und vergessen" vorgehen, also nicht den gesamten Lebenszyklus eines Produktes betrachten, sondern nur den Zeitraum bis zur erfolgreichen Inbetriebnahme mit Software und Support abdecken. Diese Einstellung macht insbesondere günstige Geräte zu regelrechten Zeitbomben. Hat Ihr DSL-Router schon einmal eine Firmware-Aktualisierung erhalten? Besonders kritisch sollten Sie sein, wenn das letzte Update vor März 2013 liegt, denn vor gut einem Jahr war die letzte größere Aktualisierungsrunde, die viele gängige Firmware-Familien abdeckte. Nach der weihnachtlichen SCMM-Backdoor und #asusgate läuft gerade die nächste Runde.

Was schafft Abhilfe?

Deutlich mehr Transparenz als die vom Hersteller installierte Firmware versprechen die Firmware-Pakete der freien Linux- Projekte OpenWRT und DD-WRT. Wer bislang noch keine alternative Firmware auf einen DSL-Router aufgespielt hat, sollte zunächst zum nutzerfreundlicheren DDWRT greifen. Wenn Sie damit etwas Erfahrung gesammelt haben und beispielsweise per SSH-Login auf dem Router dessen Systemlast auslesen können, können Sie den nächsten Schritt zu OpenWRT wagen.

Ein großer Vorteil der freien Router-Linuxe ist, dass marketingpolitische Einschränkungen der Funktionalität entfallen. Es gilt: Was die Hardware zu leisten imstande ist, wird unterstützt. Mit der passenden Software lassen sich dann Funktionen herauskitzeln, die der Hersteller erst für teurere Modelle vorgesehen hat. Das muss nicht beim Medienstreaming enden, prinzipiell möglich ist oft die Nutzung als Druckerserver, wenn ein USB-Port vorhanden ist oder die Funktion als autarker Bittorrent-Client. Sogar eine Implementierung von TVheadend existiert mittlerweile, womit der DSL-Router den DVB-T-Stream eines angeschlossenen Sticks an PCs, Smartphones und Tablets überträgt.

Auch ohne USB-Port lassen sich Funktionen nachrüsten: So kann der DSL-Router mit DD-WRT auch auf Windows-Freigaben von NAS-Geräten zugreifen, die selbst kein DLNA-Streaming beherrschen und die so eingebundenen Inhalte zum Smart TV streamen. Auch wenn Wohl und Wehe dicht beieinander liegen, weil der Arbeitsspeicher vieler günstiger DSL-Router mit 16 Megabyte um den Faktor tausendvierundzwanzig kleiner ist als bei einem modernen PC, lohnen sich Experimente, denn viele kleine Aufgaben, die sonst wenigstens einen separaten Raspberry Pi erfordern würden, können dem DSL-Router nebenbei aufgetragen werden.

Stärken im Netzwerkbetrieb

Doch die größten Stärken kann der DSLRouter mit der modifizierten Firmware im Netzwerkbereich ausspielen: Der Grund dafür ist, dass die zusätzlich im Systemkernel integrierte Unterstützung für weitgehende Firewall- oder VPN-Funktionalität (die auch das Aufspannen von abgeschotteten Gastnetzen umfasst) recht wenig zusätzlichen Arbeitsspeicher benötigt, die Konfiguration derartiger Dienste aber entweder die Änderung von Konfigurationsdateien oder aufwendige Webinterfaces benötigen würde. Auch steht das gesamte Linux-System des DSL-Routers per Fernzugriff (SSH oder Telnet) offen. Das gibt Ihnen die Möglichkeit, Linux-Shell-Skripte zu starten oder diese als regelmäßige Aufgabe aufzunehmen. So lassen sich viele an sich kleine Aufgaben im Netzwerk wie Portscans oder einfache Erkennung von Einbrüchen automatisieren. Selbst wenn Sie diese Möglichkeit nicht sofort nutzen wollen, ist es oft beruhigend, zu wissen, dass der Router sich schnell um eine solche Funktionalität erweitern lässt. Im folgenden Workshop zeigen wir anhand von DD-WRT, wie Sie einen Router pimpen und um die beschriebenen Funktionen erweitern können.

Vorteile durch neue Router-Firmware

Ein aktuell gehaltenes, alternatives Betriebssystem für Ihren Router hat viele Vorteile:

• Längerer Lebenszyklus durch Community-Updates
• Schnelle Reaktion auf Sicherheitslücken
• Effiziente Ausnutzung der Hardware
• Keine Rücksichtnahme auf marketingpolitische Zwänge -- was die Hardware kann, wird unterstützt
• Große Erweiterbarkeit: Bittorrent, Streamingserver, Printserver sind oft nachrüstbar
• Shellzugriff: Auf der Linux-Shell können schnell die Ursachen für langsame Übertragungen ausfindig gemacht werden
• Sichere Vernetzung: Die WRT-Firmwares bieten Nachrüstmöglichkeiten für VPN, VLAN, Tunneling oder abgeschottete Gastnetze

Achtung: Wegen der Gefahr, dass ein DSL-Router nach dem Firmware-Update nicht mehr mit vollem Funktionsumfang bootet, sollten Sie die Installation von DD-WRT oder OpenWRT nur durchführen, wenn ein zweiter Router zur Verfügung steht: So ist es möglich, im Netz auf Fehlersuche zu gehen und gegebenenfalls die zum Start aus dem Netzwerk nötigen zusätzlichen Dateien herunterzuladen.

1. Unterstützt mein Router DD-WRT?

Notieren Sie sich zunächst die exakte Typbezeichnung Ihres Routers oder Access Points. Neben der Verkaufsbezeichnung finden Sie häufig auch Angaben zur Hardwarerevision, beispielsweise VER:2.3. Diese zusätzliche Angabe ist wichtig, da zwischen verschiedenen Hardwarerevisionen oft massive Änderungen liegen, auf die die Software eingehen muss. 

Mit diesen Daten rufen Sie die Hardware-Tabelle des DD-WRT-Projektes auf: dd-wrt. com/wiki/index.php/Supported_Devices. Hier finden Sie die Information, ob das Gerät von DD-WRT unterstützt wird, gegebenenfalls Links zu Diskussionen im Forum. Wichtig ist auch die Information, über wie viel Arbeitsspeicher und wie viel Flash das Gerät verfügt. 4 MByte Flash sind das absolute Minimum, der Arbeitsspeicher sollte 32 MByte betragen, wenn stabiler Betrieb und ein wenig mehr als absolute Minimalfunktionalität erwünscht ist. Mit Geräten, die 128 MByte RAM und 16 MByte Flash beinhalten, lassen sich schon einige Zusatzfunktionen verwirklichen. Bereits mit 2 MByte Flash und 8 MByte RAM ist in vielen Fällen ein sicherer Weiterbetrieb möglich - aber ohne zusätzliche Funktionalität.

Sollten Sie noch mehr Details über Ihre Hardware in Erfahrung bringen wollen, surfen Sie wiki.openwrt.org/toh/start an. Das Wiki des OpenWRT-Projektes spricht eher Bastler mit Erfahrung an, doch zwischen dem technischen Kauderwelsch findet sich oft nützliche Information zu den Eigenheiten vieler Geräte.

2. Die richtige Firmware finden

Ist der eigene Router oder Accesspoint identifiziert, werfen Sie zunächst einen Blick in die Router-Datenbank www.dd-wrt.com/site/support/router-database. Hier finden Sie unter Umständen wichtige Hinweise zur Vorgehensweise bei der Installation. Bei Redaktionsschluss lag der letzte als Release deklarierte Build in der Routerdatenbank rund ein Jahr zurück. Verwenden Sie diesen zunächst in der Version factory-to-ddwrt.bin, wenn Sie das erste Mal auf DD-WRT umsteigen wollen. Das andere Image mit der Modellnummer des Routers im Namen dient dem Upgrade, wenn bereits DD-WRT installiert ist. Klicken Sie nun auf Other Downloads, und suchen Sie im Verzeichnis aktueller Testbuilds das frischeste zu Ihrem Router passende.

3. Netzwerkeinstellungen anpassen

Sind beide Dateien heruntergeladen, passen Sie die Netzwerkeinstellungen an. Am besten, Sie verbinden alleine den PC, von dem aus Sie den Router auf DD-WRT flashen wollen, per Ethernetkabel mit dem Router und trennen alle anderen Verbindungen: sowohl DSL als auch WLANVerbindungen. Dann setzen Sie den Router auf Werkseinstellungen zurück (Factory Defaults). Nun dauert nicht nur der Reboot einen Moment, sondern Sie müssen den Router auch wiederfinden: In der Regel ist die IP-Adresse oder ein Hostname wie tplinklogin.net auf einem Aufkleber auf dem Router aufgedruckt. Sollte das nicht der Fall sein, öffnen Sie eine Eingabeaufforderung und geben den Befehl ipconfig /all ein und notieren sich die Gateway-Adresse. Über diese Adresse oder den Hostnamen können Sie nun per Webbrowser erneut Verbindung aufnehmen.

4. Firmware installieren

Suchen Sie den Punkt Firmware Update im Menü, und laden Sie dort die Datei factory-to-ddwrt.bin zum Router. Der installiert die neue Firmware, was einige Minuten dauern kann. Haben Sie Geduld und resetten Sie den Router frühestens nach fünfzehn Minuten.

5. Mit dem Router neu verbinden

Da mit DD-WRT nicht zwangsweise ein DHCP-Server auf dem Router läuft, ist ein wenig Detektivarbeit notwendig: Ziehen Sie das Netzwerkkabel des PCs ab, und stecken Sie es erneut an. Wenn der Befehl ipconfig /all nun keine IP-Adresse oder eine aus dem Bereich 169.254.x.y anzeigt, müssen Sie in den Netzwerkeinstellungen Ihres Ethernetadapters einige Parameter für IPv4 setzen:

Nun ist der mit DD-WRT geflashte Router unter https://192.168.1.1 erreichbar und möchte, dass Sie beim ersten Login ein Passwort setzen.

6. Firmware Update

Nehmen Sie keine darüber hinausgehenden Einstellungen vor und laden das erwähnte aktuelle Update-Image (bei uns war dies tl-wdr3600-webflash.bin) unter Administration/Firmware Update hoch. Um mögliche Inkompatibilitäten zu vermeiden, wählen Sie bitte Reset to Default Settings. Nach einem weiteren Neustart führen Sie die Grundkonfiguration durch: Herstellen der Internetverbindung, Einrichtung des WLAN-Access-Points und Konfiguration des DHCP-Servers inklusive statischer Leases für PCs, die ihre IP-Adresse nicht wechseln sollen.

7. SSH-Zugang freischalten

Die wohl wichtigste Einstellung ist die Aktivierung des SSH-Zugangs in der Web-Oberfläche des Routers. Über diesen haben Sie vollen Zugriff auf das Linux-System des Routers. Beim Testgerät mit Firmware vom 29. März war zur Aktivierung des Dienstes trotz anders lautender Dokumentation ein Reboot nötig. Nach Aktivierung des SSH-Dienstes können Sie sich mittels PuTTY (www.putty.org, Linux- und OS-X-Nutzer verwenden den Befehl ssh <ip-adresse> im Terminal) mit dem Router verbinden. Der Nutzername lautet root, das Passwort entspricht dem fürs Webinterface vergebenen.

Nun ist der Router als Standard-Router voll funktionsfähig, Sie haben die komplette Kontrolle über ihn und können Sicherheitsupdates installieren. Außerden können Sie in der Weboberfläche ein VPN oder einen Hotspot einrichten und Netzsegmente separieren.

8. USB-Stick aktivieren

Falls Ihr Router über USB-Ports verfügt, sollten Sie gleich einen USB-Stick anschließen und diesen - nach der Aktivierung der USB-Massenspeicherunterstützung in der Web-Oberfläche - mit dem Ext4-Dateisystem versehen: mkfs.ext4 -L jffs /dev/sda1 Aktivieren Sie nun noch unter Administration/ Management den Punkt JFFS2-Support. Dieser ermöglicht es, auf dem USBStick nicht nur erweiterte Einstellungen, sondern auch nachinstallierte Software zu installieren. Nach einem weiteren Neustart sollte der Befehl df anzeigen, dass der USBStick unter /jfss eingebunden ist.

Wenn Sie das Startup-Skript auf einem USB-Stick auslagern, können Sie den Router damit nicht komplett außer Gefecht setzen.

9. Die Kür: Funktionen nachladen

Mit dem eingebundenen JFFS-Laufwerk kann der Spaß losgehen. Die genaue Software-Installation unterscheidet sich von Modell zu Modell, Infos finden Sie hier: bit.ly/1jYqjDA. Kurz gesagt: Zuerst wird das OpenWRT-Paketmanagement-Werkzeug opkg heruntergeladen. Gegebenenfalls müssen Sie die Architektur abändern, die Ausgabe der Befehle uname -a und cat/proc/cpuinfo hilft bei der Identifizierung. Nach Installation von opkg und zugehörigen dynamischen Bibliotheken steht im DD-WRT-Router der gesamte OpenWRT-Paketumfang bereit. Sind Bibliotheken und zusätzliche Software installiert, erstellen Sie ein Startup-Skript, das Sie im Wurzelverzeichnis des USBSticks ablegen.

Der Einsatz des Sticks hat den Sinn, dass Sie damit keine Änderungen am Root-Dateisystem im Flash des Gerätes vornehmen müssen. Bricht der Systemstart beispielsweise wegen eines kaputten Startup-Skriptes ab, trennen Sie ihn von der Stromversorgung und starten ihn ohne USB-Stick normal. Fehler am Startup-Skript beheben Sie dann an einem beliebigen Linux-Rechner. So können Sie ohne Sorge verschiedene Router- Erweiterungen ausprobieren, ohne Ihr produktives Netzwerk zu gefährden.