Von GL.iNet gibt es bei einschlägigen Onlinehändlern günstige Hardware für WLAN-Router, Access-Points, Repeater, etc. Günstig heißt in diesem Fall ~35 EUR (Stand: 03/2024). Diese Geräte sind klein und kompakt und verfügen meistens über ein 2,4 GHz Band. Es gibt auch Modelle mit 5 GHz, aber diese sind meistens deutlich teurer.

In diesem Beitrag solles darum gehen, wie man ein solches Gerät (AR300M16-Ext) schnell mit OpenWrt einsatzbereit machen kann. Dazu werden zuerst die passenden Firmwares von OpenWrt heruntergeladen. Hierbei empfehlen sich die NOR Versionen (im Vergleich zu NAND), da sie (im wahrsten Sinne des Wortes) berechenbarer sind. Abgesehen davon wurde im AR300M16-Ext NOR-Flashspeicher verbaut. Das spielt uns bei günstiger Hardware wie in diesem Fall in die Karten. Natürlich sollte ebenfalls das Modell passen – wir nehmen etwas wie „openwrt-VERSION-ath79-nand-glinet_gl-ar300m-nor-initramfs-kernel“ und „openwrt-VERSION-ath79-nand-glinet_gl-ar300m-nor-squashfs-sysupgrade“ um unser Gerät zu flashen.

Warum zwei Firmwares flashen? Die Geräte von GL.iNet werden von Haus aus mit einer Firmware ausgeliefert, welche zwar auf OpenWrt basiert, jedoch kein reines OpenWrt ist. Darüber kann man denken, wie man möchte. Wer tiefgreifende Optionen und eine „vertrauenswürdige“ Software benutzen möchte, sollte Abstand von den (proprietären) Derivaten nehmen. Um die Firmware erfolgreich zu flashen, wird zunächst der „initramfs-kernel“ geflasht. Dazu schließen wir das Gerät einmal an und verbinden und initial wie im Quick-Start-Booklet beschrieben. Anschließend flashen wir unter dem Menüpunkt „SYSTEM -> Upgrade -> Local Upgrade“ die Kernel Firmware. Für gewöhnlich meldet sich das Gerät mit Informationen, warum dies eine schlechte Idee ist – das ist uns aber egal, wir wollen schließlich nach OpenWrt.

Ist der Kernel nach ein paar Minuten aktualisiert, verbinden wir uns nun erstmalig mit OpenWrt. Dazu müssen wir im Normalfall unsere Netzwerkkarte, welche wir zuvor mit einer statischen IP versehen haben, um ins 192.168.8.1 Netz zu kommen, neu initialisieren. Dies ist notwendig, da OpenWrt standardmäßig im 192.168.1.1 Netz operiert. Wenn die Karte neu initialisiert wurde, können wir uns erstmalig mit OpenWrt über die neue IP-Adresse verbinden. Sind wir verbunden, wählen wir unter „System -> Backup / Flash Firmware“ den Punkt „Flash new firmware image“. Diesmal wählen wir das „sysupgrade“ Image und flashen erneut. Anschließend können wir uns wieder über die neue IP-Adresse verbinden. Mit dem zweiten Flashen haben wir kein reines Kernel Image mehr als Firmware, sondern ein richtiges OpenWrt, welches Persistenz besitzt und unsere Änderungen speichert.

In OpenWrt wählen wir unter dem Menü „Network“ den Punkt „Interfaces“ aus. Dort kann das LAN-Interface bearbeitet werden: Auf dem Tab „General Settings“ ändern wir die statische IP-Adresse des Interfaces so ab, dass sie sich in unser bestehendes Netzwerk einfügt.

Anschließend auf dem „DHCP Server“ Tab den Punkt „Ignore interface“ auswählen. Wir wollen das Gerät schließlich über den LAN-Port ins Netzwerk integrieren. Dort haben wir i.d.R. bereite einen aktiven DHCP Server (oder alles statisch konfiguriert).

Ist das erledigt nicht vergessen „Save & Apply“ zu drücken, damit die Konfiguration übernommen wird.

Ggf. muss erneut das Netzwerkinterface initialisiert werden, damit wir die Änderungen überprüfen können: Das Gerät sollte nun über die angegebene IP-Adresse erreichbar sein.

Ist das Gerät über die für es vorgesehene statische IP (mit entsprechender statischer Konfiguration auf der Client Netzwerkkarte) erreichbar, können wir das Gerät in unser Netzwerk hängen. Danach nicht vergessen das Netzwerkinterface am Client wieder auf DHCP oder was man im Normalbetrieb in seinem Heimnetz konfiguriert hat zu stellen.

Befindet sich das Gerät virtuell an seinem Platz, können wir es über das Heimnetz erreichen. Anschließend spannen wir das Funknetz auf. Dazu wird in OpenWrt im Menü „Network“ der Punkt „Wireless“ und darunter das Interface ausgewählt. Das Standard-WLAN Interface bei OpenWrt heißt „OpenWrt“. Über einen Klick auf „Edit“ kann die Konfiguration geändert werden. Wichtig hier sind die Punkte „ESSID“ (WLAN Name) und „Network“ (das Interface, welches die Daten aus dem WLAN Netz entgegennehmen soll). Unter dem Tab „Wireless Security“ können noch „Encryption“, „Cipher“ und „Key“ (WLAN Passwort) gesetzt werden.

Am Ende nicht vergessen wieder „Save & Apply“ zu klicken 😉

Damit ist die Konfiguration beendet. Ein Client, welcher sich mit dem Access-Point über Wi-Fi verbindet, sollte nun uneingeschränkt in der Lage sein sich im Netzwerk zu bewegen.

Ein solches Setup hat zwei Vorteile: Zum einen ist es sehr günstig. Zum anderen ist es schnell aufgebaut.

Es gibt aber auch gravierende Nachteile und diese sollten aus IT-Sicherheitssicht nicht unterschätzt werden: Der Preis ist günstig, weil hier billige Chips verbaut wurden. Ein Blick unter die Haube verrät, dass es sich bei der CPU um ein QCA9531 SoC handelt. Eine kurze Recherche in einschlägigen CVE Datenbanken fördert lauter Meldungen á la „buffer overflow“, „buffer overwrite“, „improper check“, „access to freed memory“ etc. auftauchen.

Daher ist der Einsatz als „Reiserouter“ ein schöner Euphemismus. Das Gerät ist okay für eine temporäre Quick&Dirty-Lösung bei der es nicht auf Sicherheit ankommt.

Ich persönlich würde keinem Schlüssel trauen, den das Gerät berechnet hat… 🙂