OpenWRT (Console)

Nach der Installation der OpenWRT Firmware loggt man sich als Benutzer root auf dem Gerät ein. Das Gerät benötigt zunächst am WAN Port einen Internetzugang, da ansonsten das notwendige Paket für den PPTP Zugang nicht installiert werden kann.

Für die Installation updated man die Paketlisten und installiert die für das PPTP notwendigen Pakete nach

opkg update
opkg install ppp-mod-pptp

Bei Version 15.05 muss das Paket „kmod-nf-nathelper-extra“ zusätzlich installiert werden.

opkg install kmod-nf-nathelper-extra

Nun nimmt man folgende Änderungen vor:

In /etc/config/dhcp

Man ergänzt im Abschnitt config dnsmasq die Zeile rebind_domain

config dnsmasq
        ...
        option resolvfile /tmp/resolv.conf.auto
        list 'rebind_domain' 'stw-bonn.de'

In /etc/config/network

Man ersetzt in config interface lan die IP-Adresse, so dass Folgendes nachher zu sehen ist

#### LAN configuration
config interface lan
      option ifname   'eth0.0' # Achtung: so belassen, wie es vorkonfiguriert ist
      option type     'bridge' 
      option proto    static
      option ipaddr   172.16.1.1
      option netmask  255.255.255.0
      option ip6assign '64'
      ...

Man ergänzt dann unter config interface wan ein zweites WAN-Interface, so dass Folgendes in der Config steht

#### WAN configuration
config interface      wan
      option ifname   eth0.1 # Achtung: sol belassen, wie es vorkonfiguriert ist
      option proto    dhcp
      
config interface      pptp
      option proto    pptp
      option server   'vpn.stw-bonn.de'
      option username 'Benutzername'
      option password 'Kennwort'

Bei username und password setzt man den eigenen Benutzernamen und das Kennwort ein.

In der Konsole lässt man die Ausgabe von:

route -n|grep UG

anzeigen. Wichtig ist die zweite Zahl. Diese ist wohnheimsspezifisch. Dies sind die Default Gateways im internen StudNet. Eine Übersicht findet man auch unter Experten-Info Subnetze.

Man ergänzt nun in /etc/config/network auch noch

config route localnet
      option interface wan
      option target 192.168.0.0
      option netmask 255.255.0.0
      option gateway 192.168.x.y

wobei der Gateway die zuvor ausgelesene IP-Adresse ist.

In /etc/config/firewall macht man nun auch Anpassungen für das zweite WAN Device und ergänzt Folgendes

config zone
      option name wan
      option input REJECT
      option output ACCEPT
      option forward REJECT
      option mtu_fix 1                                     
      option masq 1
      option network 'wan wan6 pptp' # hier pptp ergaenzen                 

Man startet nun das Gerät neu. Das Gerät ist jetzt nicht mehr über 192.168.1.1 erreichbar, sondern über 172.16.1.1. Wichtig ist, dass die IP-Adresse des PCs dahinter geändert wird bzw. der DHCP Server im Router entsprechend angepasst wird.


SSH Zugang auf den Router von extern

Um sich auf dem Router einzuloggen, kann man auf StudNet Seite (src wan) sowie in Richtung Internet (wan2) den SSH Port auf den Router freischalten

config rule
        option src      wan
        option dest_port        22
        option target   ACCEPT
        option proto    tcp


IPv6 Support

Der IPv6 Support für ein eigenes statisches lokales Subnetz lässt sich leicht nachrüsten. Wichtig ist, dass dafür die Konfiguration wie oben erfolgt ist. Bei config interface lan muss zwingend option ip6assign '64' definiert sein. Dem Nutzernamen muss das Postfix -ip1 angefügt werden, da nur hiermit ein statisches IPv6 Subnetz zugeteilt wird, das am LAN Anschluss des Routers genutzt werden kann.

Die Konfiguration ändert sich also wie folgt

config interface      pptp
      option proto    pptp
      option server   'vpn.stw-bonn.de'
      option username 'Benutzername-ip1' # Hier ist das Postfix -ip1 zu ergänzen
      option password 'Kennwort'

Es muss dann wie folgt ein IPv6 Interface ergänzt werden

config interface 'pptp6'
        option ifname '@pptp'
        option proto 'dhcpv6'
        option peerdns 0
        option ip6prefix FIXME/64

Das ip6prefix muss unter https://netstat.stw-bonn.de für den eigenen Account ermittelt werden.

Danach muss noch eine Datei unter /etc/hotplug.d/iface/90-pptp6 erstellt werden mit dem Inhalt

#!/bin/sh
 
[ "${ACTION}" = ifup ] && [ "${DEVICE}" = pptp-pptp ] && sysctl -w net.ipv6.conf.${DEVICE}.accept_ra=2

Dies ermöglicht den Empfang von Router Advertisements, auch wenn IPv6 Forwarding auf dem Router aktiv ist.