Administration Hardware Linux Software

Router Odyssey: PC Engines Alix2D13 + IPFire Software

Die allerersten Einrichtungsgegenstände der neuen Wohnung

Als ich umgezogen bin, hat Unitymedia mir einen D-LINK DIR-300 Router mitgeliefert (wie schon berichtet sogar noch vor dem offiziellen Einzugstermin ) Während der Renovierungsarbeiten wurde dieser auch bereits rege vom Handy, bzw. später mit der PSP rege zum Internetradio hören genutzt, aber schon da war auffällig, dass die Musik doch relativ häufig nach 1-2 Stunden jeweils aus ging. Merkwürdig, aber 1. keine Zeit und 2. keine Mittel zum Bughuntig vorhanden gewesen.

Nach dem Einzug folgte allerdings schnell die Ernüchterung: Die Aussetzer lagen nicht am Stream-Hoster, nicht an der PSP oder dem Handy, und auch nicht an Unitymedia, denn mit nem PC, der direkt am Modem angeschlossen ist, traten diese Phänomene nicht auf.

Dazu muss ich aber auch erwähnen, dass ich in Punkto Internetverfügbarkeit und -qualität höchstwahrscheinlich etwas verwöhnt bin, da ich jahrelang vorher bei meinen Eltern einen kompletten Linux-HomeServer als Router und für diverse andere Zwecke im Einsatz hatte. Nur ist der Stromverbrauch einer solch (potenten) Kiste überhaupt nicht mit meinen finanziellen Planungen bzgl. Stromverbraucht und -kosten unter einen Hut zu bringen, da ich durch die diversen Kisten, die ich zuhause einsetze (Mediacenter, Workstation, Bastelkiste, TV) ohnehin eine happige Stromrechnung habe.

Eine schnelle Google Suche hat mich nun auf dd-wrt und openwrt aufmerksam gemacht, welche beide auf den DIR-300 geflasht werden können. Beim Durchlesen der Featureliste fand ich es zudem noch sehr spannend, dass man mit modifizierter Firmware auch Nettigkeiten wie OpenVPN darauf betreiben kann. Das Rennen machte in diesem Fall übrigens dd-wrt, der zwar nicht offen, aber für privat kostenlos ist. Die Ernüchterung folge aber bald. Der Flash-Speicher des Routers war für OpenVPN eh zu klein, der RAM arg begrenzt und die CPU für 20Mbit Durchsatz viel zu langsam, sodaß der Software Watchdog beim einfachen Runterladen bereits zuschlägt. Mit stärkerer Hardware hätte ich bestimmt Spaß an dd/open-wrt haben können.

Daraufhin habe ich mir ‘günstig’ eine Fritzbox Fon WLAN 7240 besorgt, die zwar für deutlich zuverlässigere Internetanbindung sorgen konnte, allerding in den Einstellung sehr beschränkt war, so war Traffic nur für VoIP prioritisierbar, aber auch hier nur propietäres VPN verfügbar, Das Freetz Projekt versprach da Abhilfe. Sehr schön daran fand ich, dass alles auf der Fritzbox Vorhandene bestehen bleibt und zusätzliche Software paralle ‘daneben’ (mit separater GUI) installiert wird. Leider hat AVM seine openssl-libs (welche unter der Apache License steht) verändert und den Code nicht publik gemacht (was sie durchaus dürfen), was zur Folge hat, dass jede zusätzliche Software statisch gegen eine weitere Version der libssl gegencompiliert werden muss, was im knappen Flash-ROM (16MB) schnell für Knappheit sorgt. Auch kann man die vorhandene libssl nicht durch eine Vanilla Version austauschen, da dann die AVM Tools, die SSL nutzen wollen, crashen.

Davon abgesehen, war die stark im Funktionsumfang erweiterte Fritzbox trotz aller gelösten Widrigkeiten nicht dazu zu bewegen, Laufzeiten von über 10 Tagen zu erreichen, was mich ebenfalls nicht zufrieden stellen konnte. Also musste eine ganz andere Lösung her, von der ganzen Consumer Hardware hatte ich zu dem Zeitpunkt (es waren schon mehr als 2 Monate verstrichen) die Nase voll.

Als mich ein Kumpel auf diese x86 kompatible Hardware hingewiesen hat, sah ich dann alle meine Probleme gelöst: klein, stromsparend und mehr als 4x so kräfig wie Fritzbox und co. Aus Bequemlichkeit entschied ich mich für diese Variante, da sie neben 3 LAN Ports, auch noch einen minipci für die Nachrüstung einer WLAN Karte bot, und eine Echtzeituhr samt Batterie aufgelötet hat. Mit 256MB RAM und 500MHz CPU ist der Stromverbrauch von ~5W mehr als zufriedenstellend. Nur die Software fehlte noch.

Aus vergangenen Tagen kannte ich noch die IPCop Software. Allerdings war sie zu dem Zeitpunkt hoffnungslos veraltet, 2.4er Kernel und Uralt Pakete sprachen keine deutliche Sprache für vollen Hardwaresupport, eine Google suche führte mich zu u. A. zu monowall und pf-sense, allerdings hatten mir beide zu wenig Features, weil sie auf den Unternehmenseinsatz abgestimmt sind, so Sachen wie kleiner samba File-Server, IRC bouncer, oder aber auch Musikserver fehlten mir dran.

Schließlich bin ich auf den IPFire gestoßen, ursprünglich ein IPCop Fork, der mir wegen der hübschen GUI und vor allem wegen der Addons besonders gut gefallen hat. Wie ich finde, werden hier notwendige Sicherheitsfeatures wie Firewall, Intrusion Detection und -prevention, Proxy, logische Netztrennung (WLAN, LAN, DMZ), DHCP, DNS+Relay, Logging + Graphing + (Hardware) Monitoring, VPN, NTP etc. mit Bequemlichkeiten wie Samba, FTP(e)S, IRC Bouncer. Nicht zuletzt wegen der  Optimierung für embedded Systeme wie PcEngines Alix*, Via Nano inkl. Support für OCF (exp.) und PadLock, WRAP, Soekris ist die Software für einen stromsparenden Home/SoHo Server sehr gut geeignet. Auf leistungsfähigerer Hardware ist natürlich entsprechend mehr möglich. Ich bin so begeistert von dem Stück Software, dass ich mittlerweile (wenn auch im Moment wieder weniger aktiv) Entwickler beim IPFire Projekt bin, und das eine oder andere Code Sniplet beigetragen habe. In dem Zuge möchte ich auch nochmal auf die Präsentationsfolien zum IPFire Talk hinweisen, den ich vor einiger Zeit in der Warpzone gehalten habe.

[Ja zugegeben, dieser Artikel lag ziemlich lange unveröffentlicht in der Pipeline, bis ich ihn nun endlich fertig gestellt bekommen habe ]

Autor

Seit Kindheitstagen ist der Computer sein Begleiter. Was mit Linux anfing, wurde 2005 ein/e Beruf/ung, die weit über den Arbeitsplatz hinausgeht. Durch stetige Weiterentwicklung fasste er auch im *BSD Segment Fuß und bietet mittlerweile professionelle Lösungen im Bereich Hosting, Networking und Infrastruktur an. Als Ausgleich beschäftigt er sich neben Computerspielen mit der Fotografie.

5 Kommentare Neuen Kommentar hinzufügen

  1. EntireNet sagt:

    Hi,

    ich hab mal eine Rückfrage wegen dem alix2d13.

    ich habe auch eine Unitymedia Anschluss mit 64Mbit. Reicht die Leistung dieser Hardware um den WAN-LAN Durchsatz auch zu erreichen?

    Gruss,

    EntireNet

  2. idstone sagt:

    Juhu – genau die Art Infos such(t)e ich bisher. Gab es bei Ihnen mit der Einrichtung als AP irgendwelche Probleme? Bin gerade auf der Suche nach einer Lösung für den Heimbereich. Um allem eventuellen Ärger aus dem Weg zu gehen, möchte ich eine möglichst stromsparende Firewall-Lösung mit URLfilter und Content-Blocker zusammenschrauben. Meinen Sie, dass eine Geode-CPU und 256MB RAM genug Leistung hätten, um diese Dienste für bis zu 4 User an einem 32k-Kabelanschluss vernünftig bereitzustellen? Vielen Dank und Grüße…

    1. Ja, mit dem AP gab es massive Probleme. Mit dem madwifi Treiber brach die WLAN Verbindung immer wieder ab, mit dem ath5k + hostapd, ist häufiger der WPA Handshake fehlgeschlagen, auch beim Key Renewal. Ausserdem wars laaaangsam, die Verschlüsselung ist für die CPU auch recht knackig zu bewältigen.
      Das soll generell ein Problem mit dem hostapd sein, zumindest in Verbindung mit den verfügbaren WLAN Treibern. Ich habe dann letzten Endes, nen günstigen AP gekauft, der auch EAP mit nem RADIUS Server quatschen kann und so das WLAN Sicherheitsproblem hinreichend erschlagen. PSK Key wird so alle 15min ausgetauscht, da lohnt sich nichtmal nen dictionary Attack, von Bruteforce ganz abgesehen.
      Angeblich soll die Implementierung unter openbsd (und vllt. auch freebsd und somit auch pfsense.org) deutlich besser funktionieren, aber der Stand dieser Infos liegt nun auch bestimmt schon nen halbes Jahr zurück.
      Aber alleine bei Deiner angestrebten Geschwindigkeit muss ich Dir sagen, dass der Geode das nicht gestemmt bekommt so viele Pakete auf 2 Netzwerkkarten durchzuschleusen, da er das Interrupting in Software lösen muss, dabei wird die CPU voll ausgelastet. In dem Fall würd ich Dir nen Via C7/nano (via padlock Engine, interessant für crypto und / oder VPN) oder eines mit Atom Prozessor raten, diese haben Hardware Interrupts sodass die CPU Last bei 10-%30% @64Mbit/s liegt mit eingeschaltetem Traffic Shaping (ohne Snort und co.).
      Ich selbst bin vom ipfire auf self-made debian erneut umgestiegen zu pfsense umgestiegen, ist deutlich leistungsfähiger, aber auch entsprechend komplexer einzurichten (und braucht m. M. auch mehr Leistung als ipfire z. B.) habe mir dafür dann vor einiger Zeit ein ATOM-basiertes Embedded-System gekauft (13W Verbrauch).

      Greetz

  3. Mete sagt:

    Super Artikel, ich bin auch froh das es bei jetzt alles rund läuft. Jetzt muss ich mir dein geflame nicht mehr anhören
    Und ich kann mir gut Vorstellen, dass es noch mehr Artikel in der Pipeline stecken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.