Projekt: Fitlet-XA10 als Linux Router

Christian Scholz

vor 9 Jahren

Das Ziel war, einen Router für ein Kabelmodem auf Basis von Debian 8 mit mindestens drei, für Endgeräte nutzbaren, Gigabit LAN-Anschlüssen, sowie einer WLAN Karte für einen AccessPoint zu bauen. Bei der Auswahl der Hardware war wichtig, dass neben den Gigabit Netzwerkanschlüssen auch noch mindestens zwei USB 3.0 Anschlüsse vorhanden sind, um gegebenenfalls per USB weitere Gigabit LAN-Anschlüsse einrichten zu können. Die CPU sollte über genug Leistung verfügen, um das Routing, die Firewall mittels iptables, sowie einen VPN Tunnel stemmen zu können. Für den VPN-Tunnel ist es sinnvoll, dass die CPU über eine AES Erweiterung verfügt, um bei der Ver- und Entschlüsselung des Datenverkehrs keine zu großen Latenzen zu produzieren.

Softwaretechnisch waren die Anforderungen:

Der Betrieb eines DHCP-Servers sowie eines DNS-Servers mit DNS-Zone für das lokale Netzwerk (home.local), in der sich alle Geräte mit Hostnamen und IP registrieren sollen.
Das Aufspannen eines WLAN Netzwerkes
Der Aufbau einer VPN-Verbindung beim starten des Gerätes um den gesamten Netzwerkverkehr ausgenommen einiger Geräte über den VPN-Tunnel zu routen
Das zusammenschließen der drei Gigabit-Anschlüsse mit dem WLAN zu einer Bridge um die Kommunikation der Geräte untereinander zu ermöglichen.
Die Installation eines UPnP-Dienstes um die Firewallanpassung seitens der Endgeräte zu ermöglichen.

Letztendlich sollte das ganze System so robust sein, dass ein abruptes Trennen des Gerätes vom Strom nicht zu konsistenz Problemen auf dem Datenträger führt. Die nachfolgende Anleitung habe ich auf Basis meiner Notizen aus der Einrichtungsphase des Routers nachträglich erstellt. Sollten also kleine Zwischenschritte fehlen, wie das setzten von Rechten, so bitte ich das zu entschuldigen. Es kann gerne die Kommentarfunktion verwendet werden, um darauf hinzuweisen.

Router Komponenten

Hardware

Der Fitlet XA-10 ist ein lüfterloser Mini-PC, der technisch aus:

einem 4-Kern AMD A10 Micro-6700T Prozessor mit AES Erweiterung
4x GbE LAN Anschlüsse
2x USB 3.0 Anschlüsse
3x USB 2.0 Anschlüsse
2x HDMI Ausgängen (AMD Radeon R6 Graphics)
1x Full-size mSATA Steckplatz
1x SO-DIMM 204-pin DDR3 SDRAM Speicher Steckplatz, der bis zu 8 GB Ram unterstützt
1x Audio (Realtek ALC886)

WLAN

Verwendet wurde RT5370 USB Wlan Stick, da die Treiber im Paket firmware-ralink enthalten sind.
Debian 8: RT5370 USB WLAN Stick Anpassungen

Software

Als Software würde die nachfolgende in Debian 8 bereits enthaltene Standard-Software verwendet:

Bind9 (1.9) als DNS-Server
ISC-DHCP-Server (4.3) als DHCP-Server
OpenVPN (2.3) als VPN-Client
Linux-IGD (1.0) als UPnP-Daemon
Hostapd (1.2) als WLAN AccessPoint
SystemD als init-Daemon

Installation

Installation des Grundsystems

Bei der Installation des Fitlet habe ich die Erweiterungskarte für die Dauer der Installation entfernt, da ansonsten der einzelne LAN Anschluss auf der Rückseite nicht eth0 erkannt worden wäre, was ich jedoch wollte, um eth1-eth3 später als bridge verwenden zu können. Wer die Karte nicht ausbauen möchte, kann später in der Datei /etc/udev/rules.d/10-network.rules die Namen der Schnittstellen auch nachträglich ändern.

Partitionierung

Prinzipiell lässt sich mit ein paar kleinen Änderungen ein ganzes Linux System im read-only Modus betreiben. Die Ordner, welche zwingend beschreibbar sein müssen, können in eine Ramdisk ausgelagert werden. Dies hat den Vorteil, dass ein abrupter Stromverust die für den Betrieb wichtige Datenstruktur nicht beschädigen kann, jedoch das auch alle Log-Dateien oder Statistiken zur Schnittstellennutzung verloren. Da ich letztere jedoch behalten möchte, habe ich mich für folgende Partitionierung entschieden.

Mount Punkt	Größe	später RW/RO	Kommentar
/	5 GB	RO	Root Partition
/var/log	5 GB	RW	Log-Dateien
/var/lib	2,5 GB	RW	Schnittstellenstatistik und DHCP-Lease Informatonen
/root	5 GB	RO	Skripte etc.

/var/cache/apt/	dynamisch, da Ramdisk	RW	Paketinformationen für apt-get
/var/cache/bind/	dynamisch, da Ramdisk	RW	Schreibbare DNS Zonendatei
/backup/	dynamisch, da Ramdisk	RW	tägliches Backup welches per FTP gesichert wird.

Softwareauswahl

Die Installation des Grundsystems erfolgte anhand der aktuellen Debian Version 8.1.0 von CD. Es wurde im Experten-Modus nur das minimal-System installiert, also bei der Software-Auswahl alles abgewählt.

Während der Installation kann die Schnittstelle eth0, die sich auf der Rückseite des Gerätes befindet, einfach mit dem bereits vorhandenen LAN verbunden werden und im Verlaufe der Installation mittels DHCP eingerichtet werden. Wenn später das Kabel-Modem an eth0 angeschlossen wird (Crossover-Kabel notwendig), bekommt die Schnittstelle die öffentliche IP-Adresse ebenfalls per DHCP zugewiesen. Es muss später also nichts mehr an der Konfiguration von eth0 geändert werden.

Nach Abschluss der Installation habe ich noch einige Pakete nachinstalliert, welche zum späteren Betrieb beziehungsweise der Administration benötig werden.

apt-get install ssh htop ftp dnsutils screen vim cpufrequtils openvpn hostapd isc-dhcp-server bind9 linux-igd sudo apt-file locate iw firmware-ralink bridge-utils sysfsutils lsof vnstat iptraf nload firmware-linux-nonfree ncftp bash-completion unattended-upgrades psmisc openvpn whois lm-sensors linux-igd

Systemd Bild-Reset nach Boot verhindern

Sobald Debian 8 mit Systemd gebootet ist, wird der Bildschirminhalt resettet, so dass nur noch der Prompt zu sehen ist und alle vorherhigen Boot-Meldungen verschwinden. Mittels dmesg kann man sich zwar den Bootverlauf wieder anzeigen lassen, jedoch ist dies nicht die gleiche Darstellung wie im Boot-Bildschirm, was die Suche nach einer beim booten wahrgenommenen Meldung unnötig erschwert.

Um bei späteren Einrichtung Boot-Meldungen in Ruhe lesen zu können, wurde das Löschen der Meldungen nach dem Boot, wie hier gefunden, abgeschaltet.

mkdir -pv /etc/systemd/system/getty@tty1.service.d

cat > /etc/systemd/system/getty@tty1.service.d/noclear.conf << EOF
[Service]
TTYVTDisallocate=no
EOF

DNS-Server einrichten

Nach der Installation des Bind9 Paketes ist der DNS-Server selber schon Einsatzbereit. Damit der DHCP-Server die gleich anzulegende die DNS-Zone später auch aktualisieren kann, muss dafür eine key (rndc.key) erstellt werden.

rndc-confgen -a

Nun kann die DNS-Zone home.local sowie eine Reverse-Zone eingerichtet werden. Dazu werden einmal die nachfolgend verlinkten DNS-Zonen unter /etc/bind/ abgelegt und anschließend die /etc/bind/named.conf angepasst. Hierbei wird direkt der rndc.key mit eingebunden.

# /etc/bind/named.conf

include "/etc/bind/rndc.key";

zone "home.local" IN {
        type master;
        file "home.local.zone";
        allow-query { any; };
        allow-update { key rndc-key; };
};

zone "10.168.192.in-addr.arpa" IN {
        type master;
        file "10.168.192.in-addr.arpa";
        allow-query { any; };
        allow-update { key rndc-key; };

};

Abschließend den DNS-Dienst neustarten und dem Router mitteilen, dass von nun an der lokale DNS-Server verwenden soll (etc/resolv.conf). Zusätzlich wird die /etc/resolv.conf noch vor Veränderungen geschützt.

systemctl restart isc-dhcpserver

echo "nameserver 127.0.0.1" > /etc/resolv.conf

chattr +i /etc/resolv.conf

DHCP-Server einrichten

Für die Einrichtung des DHCP-Servers wird in der Datei /etc/dhcp/dhcpd.conf der DHCP-Bereich definiert, aus welchem die Clients später ihre IP-Adresse zugewiesen bekommen. An der markierten Stelle muss der Inhalt der Datei rndc.key eingefügt werden. Theoretisch kann der Key auch durch die Direktive include „/etc/bind/rndc.key“; eingebunden werden, jedoch funktionierte dies bei mir nicht.

log-facility local7;

option netbios-node-type 8;
option netbios-name-servers 192.168.10.1;
ddns-update-style interim;
ddns-updates on;
allow unknown-clients;
use-host-decl-names on;
ddns-domainname "home.local";
update-static-leases on;
key "rndc-key" {
 [...]
};

zone home.local. {
 primary 192.168.10.1;
 key rndc-key;
}

zone 10.168.192.in-addr.arpa. {
 primary 192.168.10.1;
 key rndc-key;
}

authoritative;
default-lease-time 600;
max-lease-time 7200;

subnet 192.168.10.0 netmask 255.255.255.0 {
 option domain-name-servers 192.168.10.1;
 option domain-name "home.local";
 ddns-domainname "home.local";
 ddns-rev-domainname "in-addr.arpa.";
 option broadcast-address 192.168.10.255;
 option routers 192.168.10.1;
 range 192.168.10.100 192.168.10.150;
}

Abschließend einmal den DHCP Dienst durchstarten.

systemctl restart isc-dhcp-server

Um sich die aktuelle vergebenen Leases anzeigen zu lassen, gibt es den Befehl dhcp-lease-list. Dieser funktioniert in der Konfiguration jedoch nicht, da er die Datei für die Leases (dhclient.leases) unter /var/db erwartet, die jedoch unter /var/lib/dhcpd liegt. Das lässt sich aber durch eine Verlinkung beheben.

mkdir /var/db
ln -s /var/lib/dhcp/dhclient.leases /var/db/dhcpd.leases

dhcp-lease-list

Bridge einrichten

Nachdem nun der DNS- sowie DHCP-Server laufen, kann die Bridge für die Netzwerkschnittstellen eth1 bis eth3 eingerichtet werden. Hierzu sind folgende Einträge in der /etc/network/interfaces notwendig. Die Paremter dazu können in der manpage nachgelesen werden.

Die wlan0 Schnittstelle wird später über hostapd automatisch hinzugefügt.

# /etc/network/interfaces


auto eth1
iface eth1 inet manual
        up ifconfig eth1 up promisc
        down ifconfig eth1 down -promisc

auto eth2
iface eth2 inet manual
        up ifconfig eth2 up promisc
        down ifconfig eth2 down -promisc

auto eth3
iface eth3 inet manual
        up ifconfig eth3 up promisc
        down ifconfig eth3 down -promisc

auto wlan0
iface wlan0 inet manual

# Bridge setup
auto br0
iface br0 inet static
        bridge_ports eth1 eth2 eth3 wlan0
        bridge_waitport 0
        bridge_fd 0
        bridge_hello 0
        address 192.168.10.1
        broadcast 192.168.10.255
        netmask 255.255.255.0
        gateway 192.168.10.1

Damit das Routing sauber funktioniert wird ipv6 deaktiviert, der Bridge erlaubt auf den entsprechenden Interfaces als Arp-Proxy zu fungieren, sowie die Weiterleitung der IP Pakete aktiviert.

echo "# Disable IPv6"
echo net.ipv6.conf.all.disable_ipv6 = 1 >> /etc/sysctl.conf
echo >> /etc/sysctl.conf

echo "# Allow Router to act as ARP Proxy"
echo net.ipv4.conf.all.proxy_arp=1 >> /etc/sysctl.conf
echo net.ipv4.conf.wlan0.proxy_arp=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth1.proxy_arp=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth2.proxy_arp=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth3.proxy_arp=1 >> /etc/sysctl.conf
echo >> /etc/sysctl.conf

echo "# Enable forwarding on all interfaces"
echo net.ipv4.ip_forward = 1 >> /etc/sysctl.conf
echo net.ipv4.conf.wlan0.forwarding=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth1.forwarding=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth2.forwarding=1 >> /etc/sysctl.conf
echo net.ipv4.conf.eth3.forwarding=1 >> /etc/sysctl.conf

Nun die Änderungen noch aktivieren:

sysctl -p

Damit der DHCP-Dienst nun auch auf der Bridge (br0) auf DHCP-Anfragen lauscht, muss in der Datei /etc/default/isc-dhcp-server noch eine Zuweisung an br0 erfolgen.

/etc/default/isc-dhcp-server
INTERFACES="br0"

Nach den Änderungen besten einmal den Router neustarten.

AccessPoint einrichten

Um den AccessPoint zu betreiben wurde am Anfang schon das Treiberpaket firmware-ralink mit installiert. Über der /etc/network/interfaces wird die Schnittstelle wlan0 auch bereits aktiviert. Jetzt kommt noch hostapd als AccessPoint oben drauf. Dazu muss die Konfigurationsdatei /etc/hostapd/hostapd.conf angepasst werden. Die SSID, sowie das WLAN-PASSWORT müssen bitte individuell gesetzt werden. Der Parameter bridge= veranlasst hostapd beim starten wlan0 automatisch zur Bridge br0 hinzuzufügen.

/etc/hostapd/hostapd.conf

interface=wlan0
driver=nl80211
bridge=br0
ssid=<SSID>
auth_algs=1
channel=3

country_code=OB

#  yes, it says 802.11g, but the n-speeds get layered on top of it
hw_mode=g

#  this enables the 802.11n speeds and capabilities ...  You will also need to enable WMM for full HT functionality.
ieee80211n=1
wmm_enabled=1

eap_reauth_period=360000000

wpa=0
ignore_broadcast_ssid=0
wpa=3
wpa_passphrase=<WLAN-PASSWORT>
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP CCMP

Da hostapd leider keine Service-Unit für systemd mitliefert, muss diese manuell erstellt werden. Dazu wird die Datei /etc/systemd/system/hostapd.service mit folgendem Inhalt angelegt.

/etc/systemd/system/hostapd.service

[Unit]
Description=Hostapd IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS Authenticator
Wants=network.target

BindsTo=sys-subsystem-net-devices-wlan0.device
After=sys-subsystem-net-devices-wlan0.device isc-dhcp-server.service

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf -P /var/run/hostapd.pid
ExecStart=/sbin/iptables --append FORWARD --in-interface wlan0 -j ACCEPT
ExecStop=/usr/bin/killall -9 hostapd

[Install]
WantedBy=multi-user.target

Anschließend hostapd systemd einmal die Konfiguration neu einlesen lassen, hotsapd als Start-Dienst aktivieren und den Dienst händisch starten.

systemctl daemon-reload
systemctl enable hostapd
systemctl restart hotsapd

Dateisystem durch Read-Only schützen

Eines vorweg: Man kann das Dateisystem später im laufenden Betrieb problemlos wieder als RW mounten. Also nicht nervös werden, wenn das System später startet und nichts mehr geschrieben werden kann. Der Befehl dazu lautet:

mount - / -oremount,rw

/etc/fstab anpassen

Um das Dateisystem zu schützen, müssen in der Datei /etc/fstab die read-only zu mountenden Partition einige Parameter ergänzt werden. Zusätzlich werden /var/log und /var/lib/ abgesichert, da diese beiden Ordner die einzigen beschreibbaren auf der Festplatte sind.

# <file system>    <mount point>     <type>    <options>                                        <dump>  <pass>
/dev/sda1          /                 ext4      defaults,ro,errors=remount-ro                    0       1
/dev/sda8          /root             ext4      defaults,ro,errors=remount-ro                    0       2
/dev/sda6          /var/log          ext4     defaults,nodiratime,noatime,nodev,nosuid,noexec   0       2
/dev/sda7          /var/lib          ext4     defaults,nodiratime,noatime,nodev,nosuid          0       2

/var/lib: Hier legen vnstat und der DHCP-Server Informationen über den Trafficverbrauch bzw. die aktuellen DHCP Leases ab. Ohne Schreibrechte wäre beides nicht möglich.

Darüber hinaus müssen einige Teile des Dateisystems beschreibbar sein und werden daher über eine Ramdisk eingebunden.

# <file system>    <mount point>     <type>    <options>                                        <dump>  <pass>
tmpfs              /var/cache/bind/  tmpfs     defaults,noexec,noatime,mode=0755                0       0
tmpfs              /backup/          tmpfs     defaults,noexec,noatime,mode=0755                0       0
tmpfs              /var/cache/apt/   tmpfs     defaults,noexec,noatime,mode=0755                0       0

/var/cache/bind/: Hintergrund ist, dass Bind9 nach der Vergabe einer IP Adresse mittels DHCP den neuen Host in die DNS-Zonendatei eintragen können muss. Die Original Zonen-Datei kann weiterhin unter /etc/bind/ liegen bleiben. Sie wird später beim Start nach /var/cache/bind/ umkopiert. Dieses Vorgehen hat für die DNS-Zonen den Vorteil, dass durch jeden Reboot wieder eine saubere Zone ohne jegliche Einträge geladen wird. Da nach einem Neustart der DHCP-Client die leases der Clients erneuert, werden auch automatisch alle eingeschalteten Clients wieder in der Zone registriert.

/backup: Hier schreibe ich später meine täglichen Konfigurationsbackups hin, welche auch keinen Neustart überleben müssen, da es per FTP weg kopiert wird.

/var/cache/apt: Um später updates installieren zu können, wird dieser Ordner auch in eine Ramdisk ausgelagert. Hier legt apt-cache seine Repository Informationen ab. Wer jetzt denke „Read-Only und Updates, wie passt das zusammen?“ … kommt noch 😉

Anschließend noch das Swapping verhindern:

echo >> /etc/sysctl.conf
echo "# Disable swapping"
echo vm.swappiness=0 >> /etc/sysctl.conf
echo >> /etc/sysctl.conf

sysctl -p

ramdisk.service anlegen

Jetzt wird ein systemd service angelegt, welcher bei einem starten des Systems einige Dateien in die Ramdisk Ordner kopiert.

/etc/systemd/system/ramdisk.service

[Unit]
Description=Copy necesarry files into ramdisk
Wants=tmp.mount
After=tmp.mount
Before=bind9.service

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/bin/cp /etc/bind/managed-keys.bind /var/cache/bind/
ExecStart=/bin/cp /etc/bind/10.168.192.in-addr.arpa /var/cache/bind/
ExecStart=/bin/cp /etc/bind/home.local.zone /var/cache/bind/
ExecStart=/bin/chown bind:bind /var/cache/bind/ -R

[Install]
WantedBy=local-fs.target

Da die Anleitung aufeinander aufbaut, muss jetzt in der der Datei /etc/bind/named.conf der Pfad zu den DNS-Zonen home.local.zone sowie 10.168.192.in-addr.arpa vollqualifiziert angegeben werden. Abschließend noch den Dienst aktivieren.

systemctl enable ramdisk.service

.viminfo anpassen

Wird vim später auf einem read-only System verwendet, wodurch auch das Homeverzeichnis geschützt wird, wirft vim folgende Fehlermeldung

E886: Can't rename viminfo file to ~/.viminfo!

Dem kann entgegen gewirkt werden:

set viminfo="NONE"

.bashrc anpassen

Die bash kann, insofern konfiguriert, eine Historie der zuletzt verwendeten Befehle führen. Auf einem read-only geschützten Dateisystem wird dies schwierig und die bash wirft daher ebenfalls beim starten einen Fehler. Aus diesem Grund sollte die bash Historie deaktiviert werden.

~/.bashrc

export HISTFILE=/dev/null

apt-get read-only anpassen

Auch wenn das Root-Dateisystem beim starte read-only gemountet wird, kann apt-get dennoch so angepasst werden, dass es wie immer verwendet werden kann. Wie hier beschrieben muss dazu nur die Datei /etc/apt/apt.conf mit folgendem Inhalt angelegt werden:

/etc/apt/apt.conf

DPkg {
    // Auto re-mounting of a readonly /
    Pre-Invoke { "mount -o remount,rw /"; };
    Post-Invoke { "test ${NO_APT_REMOUNT:-no} = yes || mount -o remount,ro / || true"; };
};

Hinweis zum random-seed.service

Wie hier beschrieben ist die Generierung von qualitativer Entropie sehr schwierig und braucht seine Zeit. Entropie wird jedoch zum Beispiel bei VPN-Verbindungen oder der Schlüsselerstellung benötigt. Um beim starten eines Linux Systems nicht erst aufwendig Zufallszahlen generieren zu müssen, speichert der random-seed.service diese beim herunterfahren. Im read-only Modus wird dies jedoch scheitern. Beim nächsten starten kann der Dienst die Datei /var/lib/systemd/random-seed nicht laden und wirft den Fehler:

Failed to start Load/Save Random Seed

Leider ist es mir weder gelungen den Dienst zu deaktiviern, noch durch das umkopieren der Datei beim starten und herunterfahren den Dienst zufrieden zu stellen. Dies nur als Hinweis für die auftauchende Fehlermeldung.

# ln -s /var/log/random-seed /var/lib/systemd/random-seed
# systemctl disable systemd-random-seed

Ob die Installation des haveged sich positiv auf die Generierung von Entropie auswirkt, kann ich nicht sagen, da ich mir die Arbeitsweise von haveged im Detail nicht angeschaut habe. Es könnte jedoch eine Option sein.

OpenVPN Einrichten

Ich möchte hier nicht beschreiben, wie OpenVPN in gänze einzurichten ist, sondern beschränke mich auf einige Anpassungen, welche ich an der OpenVPN Konfiguration gemacht habe.

DNS-Server nicht per DHCP beziehen

Per DHCP wird der Schnittstelle eth0 nicht nur eine IP Adressen, sondern auch der DNS-Server des Modems mitgeteilt. Dieses Verhalten wird deaktiviert, da auf dem Router ein eigene DNS-Server läuft, welcher verwendet werden soll.

/etc/dhcp/dhclient-enter-hooks.d/nodnsupdate
make_resolv_conf() {
        true
}

Systemd Service anlegen

Die erste Änderung ist, dass ich für Systemd eine eigene OpenVPN Service-Datei angelegt habe. OpenVPN startet sobald das Netzwerk als auch der DHCP-Dienst am Router Einsatzbereit sind.
Über die Parameter Restart und RestartSec wird sichergestellt, dass der Dienst automatisch neustartet, sollte er unerwartet beendet werden. –script-security ermöglicht das ausführen von Skripten beim Auf- und Abbau der VPN-Verbindung.

[Unit]
Description=OpenVPN
After=network.target bind9.service
Requires=networking.service bind9.service

[Service]
Type=forking
PIDFile=/var/run/openvpn.pid
ExecStart=/usr/sbin/openvpn --daemon --writepid /var/run/openvpn.pid --log-append /var/log/openvpn.log --script-security 2 --up /etc/openvpn/tun0-up.sh --down /etc/openvpn/tun0-down.sh --cd /etc/openvpn/vpn-config-folger --config /etc/openvpn/vpn-config-colder/vpn-config.ovpn
ExecReload=/bin/kill -HUP $MAINPID
ExecStop=/bin/kill -TERM $MAINPID
Restart=always
RestartSec=30
KillSignal=SIGINT

[Install]
WantedBy=multi-user.target

Die Service-Datei muss anschließend eingelesen und OpenVPN aktiviert werden.

systemctl daemon-reload
systemctl enable openvpn

Routing nach Quell-IP

Da der gesamte Netzwerkverkehr, über den VPN-Tunnel geroutet wird, kann es bei der Verwendung von Online-Video-Diensten wie Amazon Prime zu Probleme kommen. Endet der VPN-Tunnel außerhalb von Deutschland erkennt das Amazon Prime und verweigert das Abspielen von Videos. Hier kann man entweder die Verwendung eines lokalen DNS-Servers erzwingen oder aber, was mehr Sinn macht, den gesamten Verkehr von zum Beispiel einem Amazon FireTV am VPN vorbei routen. Dazu ist ein Routing auf Basis der Quell-IP Notwendig, welche über den DHCP Server anhand einer Reservierung fixiert werden kann.

Um Quell-IP Adressen anders zu routen, als den restlichen Netzwerkverkehr muss eine eigene Routingtabelle angelegt werden, in welcher das Zielgateway angegeben werden muss. Da ein Quell-IP basiertes Routing erst durch den Aufbau einer VPN-Verbindung notwendig wird, sorgt das Skript /etc/openvpn/tun0-up.sh für deren Ausführung. Das Skript legt die Routingtabelle 1000 mit dem aktuellen Gateway (eth0) als Routingadresse an und nimmt anschließend die IP Adressen 192.168.10.251 bis 253 in die Routingliste auf. Diese Quelladresse können also trotz aktiver VPN-Verbindung direkt über den Unitymedia Anschluss raus.

#!/bin/bash

addSourceRouting() {
        if [ $(ip rule list |grep $1 -c) = 0 ]; then
                ip rule add from $1/32 table 1000
        fi
}

gateway=$(ip addr show eth0 |grep -v "eth0:"| grep "inet " | cut -d / -f 1 | awk '{print $2}')
if [ ! -z "$gateway" ]; then
        ip route del default table 1000
        ip route add default via $gateway dev eth0 table 1000
        logger "Openvpn Table 1000: new gateway $gateway"
fi

addSourceRouting 192.168.10.251
addSourceRouting 192.168.10.252
addSourceRouting 192.168.10.253

Um sich die das Source-Routing anzuschauen, können folgende Befehle verwendet werden:

# Show table informationen
ip rule list
ip route list table 1000

Routing-Anpassung bei Änderung der öffentlichen IP-Adresse

Wird nach 24 Stunden über das Unitymedia Modem dem Router eine neue IP Adresse zugewiesen, macht dies die Routingtabelle 1000 unbrauchbar. Das Problem kann gelöst werden, indem automatisch bei einer Aktualisierung der eth0 IP-Adresse durch den DHCP Client ein entsprechendes Skript ausgeführt wird. Die Lösung dazu habe ich hier gefunden.

Das Skript löscht bei einer Erneuerung der DHCP Adresse für eth0 die alte Route und definiert diese mit der neuen öffentlichen IP Adresse neu.

Es wird dazu die Datei /etc/dhcp/dhclient-exit-hooks.d/routing mit nachfolgendem Inhalt angelegt:

# /etc/dhcp/dhclient-exit-hooks.d/routing

set_routing() {
    case $reason in
        BOUND|RENEW|REBIND|REBOOT)
                gateway=$(ip addr show eth0 | grep -v "eth0:" | grep "inet " | cut -d / -f 1 | awk '{print $2}')
                if [ ! -z "$gateway" ]; then
                        ip route del default table 1000
                        ip route add default via $gateway dev eth0 table 1000
                        logger "dhclient: Table 1000 new gateway $gateway"
                fi
            ;;
        EXPIRE|FAIL|RELEASE|STOP)
                gateway=$(ip addr show eth0 | grep -v "eth0:" | grep "inet " | cut -d / -f 1 | awk '{print $2}')
                if [ ! -z "$gateway" ]; then
                        ip route del default table 1000
                        ip route add default via $gateway dev eth0 table 1000
                        logger "dhclient: Table 1000 new gateway $gateway"
                fi

            ;;
    esac
}

Massenhaft DHCPRequests

Nach der Einrichtung füllte sich das log (/var/log/syslog) nach und nach mit jeder Menge DHCPREQUEST Einträgen, welche alle vom Kabel-Modem von UnityMedia stammen.

Aug 14 15:54:47 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:55:03 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:55:12 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:55:24 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:55:35 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:55:49 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:56:10 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:56:22 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67
Aug 14 15:56:42 router dhclient: DHCPREQUEST on eth0 to 10.145.20.1 port 67

Bei der Suche nach der Ursache gab es zwei potentielle Lösungen.

Das Modem schickt mit dem DHCPRequest einen Identifier, welcher fehlerhaft ist und somit eine Antwort nichz erfolgreich zugestellt werden kann (Quelle)
Das Modem hat Probleme bei der Verarbeitung von Unicast Paketen (Gleiche quelle wie 1)

Es traf jedoch beides nicht zu. Die tatsächliche Ursache war, dass der UDP DHCPRequest auf dem Interface eth0 ankommt und der Router ihn aufgrund seiner Routintabelle über tun0 beantwortet. Somit erhält das Modem nie eine Antwort und stellt die Anfrage nach kurzer Zeit erneut. Die Lösung ist daher denkbar einfach. Es muss für das Modem eine dedizierte Router definiert werden. Diese kann man z.B. in der /etc/rc.local eintragen da es kein Problem darstellt, wenn die Route auch ohne VPN Verbindung gesetzt wird.

route add 10.145.20.1/32 dev eth0

Hinweis zur Wärmeentwicklung

Das Gerät wird im Betrieb sehr warm (Gehäuse 40-50° C im Normalbetrieb, CPU 65-68° C, bei 24° C Raumtemperatur), was der Hersteller aber auch in seinen FAQs erwähnt. Auch wenn sich die Anzahl der zu verwendenden Prozessoren sowie die maximale Leistungsaufnahme (1-25.000 mW) im Bios einstellen lassen, wirkt sich dies kaum auf die die Temperatur aus.

Die CPU Temperatur kann ab Kernel 3.1.6 ausgelesen werden, dazu muss jedich lm-sensors installiert werden.

apt-get install lm-sensors

Anschließend das Modul laden und die Temperatur auslesen

$ modprobe k10temp
$ sensors
k10temp-pci-00c3
Adapter: PCI adapter
temp1:        +65.2°C  (high = +70.0°C)
                       (crit = +105.0°C, hyst = +104.0°C)

Wer möchte, dass dieses Modul beim booten direkt geladen wird, kann es unter Debian in die /etc/modules eintragen:

echo k10temp >> /etc/modules

Links

Wie im Artikel Kernel: Kernel für einzelnes System optimieren beschrieben, kann man einen Kernel für ein System individuell anpassen. Die minmal Konfiguration für Kernel 4.2.6 mit GrSecurity Erweiterung sowie Unterstützung des Logitech Unify Empfängers als des RT5370 USB Wlan Stick auch kann hier heruntergeladen werden.

Nachtrag vom 21.09.2015: Update auf Kernel 4.1

Wer übrigens auf Debian Jessie auf den Kernel 4.1 (Neuerungen des Kernels) der Backports upgraden möchte, kann dies relativ einfach. Dazu müssen die Quelle angepasst werden und anschließend der Kernel expliziet aus der Quelle installiert werden.

/etc/apt/sources.list
deb http://ftp2.de.debian.org/debian/ jessie-backports main contrib non-free
deb-src http://ftp2.de.debian.org/debian/ jessie-backports main contrib non-free

apt-get update
apt-get -t jessie-backports install linux-image-amd64 -y

Die anschließende Kontrolle der sensoren fördert einen neuen Eintrag zutage, der leider nicht so aussagekräftig ist.

fam15h_power-pci-00c4
Adapter: PCI adapter
power1:           N/A  (crit =   4.54 W)

Nachtrag vom 25.11.2015: Kühlkörper

Es gibt seit kurzem Austauschgehäuse mit besseren Kühlrippen. Dies kann etwender direkt beim Hersteller oder mittlerweile auch bei Amazon bestellt werden. Der Händle CompuLab bietet dort auch die restliche verfügbare Zubehör zu Kaufe an.

In der Praxis zeigt sich, dass durch die tieferen Külrippen der Wärmeaustausch verbessert wird, so dass die Temperatur um 15-20° C auf 45-48° C im Normalbetrieb fällt.

Nachtrag vom 08.12.2015: Kernel 4.2.6 GrSecuriy

Nachtrag vom 06.12.2015: geblockte Popups automatisch schließend

Eine Änderung habe ich heute nich implementiert. Popups die per DNS geblockt sind, gehen auf, zeigen aber aufgrund des blacklistings keinen Inhalt an.
Das ganze kann man noch etwas schöner lösen. Der Trick ist, geblockte Anfrage auf den Router umzuleiten. Der Router liefert dann eine Webseite aus, die sich sofort schließt.

Ursprünglich hatte ich mich gegen eine Umleitung der geblockten Anfragen zurück auf den Router entschieden, um den Traffic zu vermeiden.

Um die Konfiguration dementsprechend anzupassen sind 5 Schritte notwendig.

Webserver installieren

apt-get install lighttpd

DNS Zone anpassen

Der DNS Server muss für jede geblocke Domain sowie alle Subdomains (*) einen A record bereitstellen, der auf ihn verweist.

/etc/bind/blacklisted.zones

     IN    A       192.168.10.1
*    IN    A       192.168.10.1
     IN    AAAA    ::1
*    IN    AAAA    ::1

Blockpage erstellen

Die durch die Umleitung aufgerufene Webseite soll sich sofort wieder schließen.

# /var/www/html/index.lighttpd.html

<html>
<head>
<script language="javascript" type="text/javascript">
  function closeWindow() {
  window.open('','_parent','');
  window.close();
  }
closeWindow();
</script>
</head>
<body>
</body>
</html>

Einige Firefox Versionen erlauben das automatische Schließend von Fenstern nicht. Zu Beispiel unter OpenSUSE.
Um dies zu aktivieren, muss der Wert dom.allow_scripts_to_close_windows in der about:config auf true gesetzt werden.

Webseiten Umleitung

Nun noch lighttpd mitteilen, dass alle Anfragen auf die Standard Seite umgeleitet werden sollen.

# /etc/lighttpd/lighttpd.conf

server.error-handler-404   = "/index.lighttpd.html"
url.rewrite-once = ( "^/(.*)" => "/index.html" )

/etc/init.d/lighttpd restart