Zurück zu Hintergrundwissen

Anleitung zur Einrichtung von OpenWrt/LEDE

Diese Anleitung schildert diehändische Einrichtung eines OpenWrt/LEDE Routers für 802.1x Authentifizierung über LAN.  Z.b. für die Wohnheime des Studentenwerks in Bielefeld, Worms, Kaiserslautern, Marburg, Trier etc.

Anleitung für Leute ohne Plan 😉

Wenn du weißt, was eine Kommandozeile ist und was die Begriffe SSH, SCP, FTP, Telnet, Firmware, IP, OpenWrt, LEDE, Router, packages bedeuten, dann lies unten weiter.
Wenn du keinen Plan davon hast und in Bielefeld wohnst, kannst du das alles von mir einrichten lassen:

Meine Dienstleistung: Die komplette Einrichtung von OpenWRT passend für das Wohnheimnetz Bielefeld
Wenn du aus Worms, Kaiserslautern, Marburg, Trier kommst: Online-Shop.

 

Anleitung für Leute mit Kommandozeilen/Linux-Kenntnissen

Hinweis: Diese Vorgehensweise ist getestet für die Wohnheime in Bielefeld. Für Studenten aus Marburg und Worms sollte diese Anleitung auch funktionieren mit einer anderen .conf Datei. Es geht auch für die LAN-Zugänge der Hochschule Kaiserslautern, das Zertifikat wird in diesem Fall nicht gebraucht (leider ist dies unsicherer, allerdings offiziell so empfohlen). Trier auch ohne Zertifikat und mit verlinkter .conf Datei. Weitere Wohheime mit diesem System sind mir nicht bekannt, werden im Prinzip jedoch genau so funktionieren.

Aufgrund des Platzbedarfs der Pakete ist ein Router mit 8MB Flash-Speicher zwingend notwendig, solange man nicht eine eigene individuelle OpenWRT Version kompilieren möchte. D.h. es gehen nur die teuereren Router. Faustregel: unter 50€ geht es meistens nicht + Alle Archer-Modelle aus meiner Liste haben z.B. mindestens 8MB.

  • Ziel ist es, die 802.1x Authentifizierung über den WAN-Port einzurichten und ein geroutetes (NAT) privates Netz einzurichten
  • LEDE auf den Router flashen, und zwar am besten Version 17.01.4 oder neuer (ar71xxx, generic, factory).
    https://downloads.openwrt.org/releases/
  • Basis-Sachen einrichten (Passwörter, WLAN etc.)
  • Datum&Uhrzeit setzen (Wichtig! Sonst denkt der Router, dass das Zertifikat von der Telekom nicht gültig ist)
  • wpad-mini deinstallieren
  • wpad installieren
  • wpa-cli installieren
  • Dazu evtl. die packages von der OpenWrt Seite herunterladen und mit WinSCP o.ä. nach /tmp transferieren, dann mit opkg installieren. Oder kurz jemandem mit schon funktionierendem Router besuchen und alles über das Webinterface erledigen, z.B. Bei den Eltern am DSL-Router oder beim Nachbarn (wobei man hier die LAN-IP auf sowas wie 192.168.2.1 verlegen sollte wenn der andere Router schon 192.168.1.1 benutzt).
  • Die 802.1x Authentifizierung läuft über wpa_supplicant (in wpad enthalten) und einem entsprechenden Config-File, in dem die HZR Benutzerdaten eingetragen werden müssen (Geht gut mit dem Editor in WinSCP, Dateiübertragung auf Binär für das Zertifikat und auf Text für die Textdateien einstellen):
    Bielefeld, Marburg, Worms: Telekom-Zertifikat als /etc/deutsche-telekom-root-ca-2.pem
    Konfigurationsdatei für die Authentifizierung als /etc/config/wpasupplicant.conf (umbenennen)
    Bielefeld: wpasupplicant.conf
    Kaiserslautern: wpasupplicant.conf
    Marburg: wpasupplicant.conf
    Trier: wpasupplicant.conf
    Worms: wpasupplicant.conf
  • Mit uci get network.wan.ifname den Namen vom WAN-Interface ermitteln, z.B. eth0.2, und für den nächsten Schritt notieren
  • Zum ersten Ausprobieren manuell den supplicant starten:
    wpa_supplicant -i HIER_NAME_VOM_WAN_INTERFACE -D wired -c /etc/config/wpasupplicant.conf -B -dd -t
  • Nun sollte der Router eine IP-Adresse vom Wohnheimserver bekommen per DHCP und online sein.
  • Status checken geht mit einem zweiten putty Fenster und wpa_cli status und ping www.uni-bielefeld.de (beenden mit Strg-c)
    oder mit dem Paket httping-nossl (opkg update; opkg install httping-nossl) und httping www.google.de (oder andere Adressen)
  • init-file für wpa_supplicant schreiben für den Autostart
    ( http://wiki.openwrt.org/doc/techref/initscripts -> Befehl wpa_supplicant -i […] unter start() in das Beispiel schreiben, unter stop() killall wpa_supplicant , in /etc/init.d/ unter irgendeinem Namen hochladen (text-Modus!), der auf .sh endet, z.B. wohnheim.sh. Die Init-Datei muss ausführbar sein, dies kann man in WinSCP unter Properties / F9 einstellen “+X)
  • Autostart der vorher erstellten Init-Datei aktivieren im Webinterface unter System-> Systemstart
  • Wenn alles funktioniert bietet es sich an, ein komplettes Backup aller Dateien mit WinSCP herunterzuladen